在linux中,防火牆模組指的是架設在互聯網與企業內網之間的資訊安全系統,根據企業預定的策略來監控往來的傳輸;linux中存在iptables和firewalld兩種防火牆, iptables更接近資料的原始操作,精度更高,而firewalld則更容易操作。
本教學操作環境:linux7.3系統、Dell G3電腦。
在電腦科學領域中,防火牆(Firewall)是一個架設在互聯網與企業內部網路之間的資訊安全系統,根據企業預定的策略來監控往來的傳輸。
防火牆可能是專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備,從專業角度來說,防火牆是位於兩個(或多個)網路間,實行網路間存取或控制的一組元件集合之硬體或軟體
Linux中存在iptables和firewalld兩種防火牆
iptables:更接近資料的原始操作,精度更高
firewalld:更容易操作
防火牆的分類
邏輯層面
從邏輯上講,防火牆大體可以分為主機防火牆和網路防火牆
主機防火牆:主要針對單一主機進行防護
網路防火牆:往往處於網路入口或邊緣,針對於網路入口進行防護,服務防火牆背後的本地區域網路
網路防火牆和主機防火牆互不影響,可以理解為網路防火牆負責外(集體),主機防火牆負責內(個人)
物理層面
從物理上講,防火牆可以分為硬體防火牆和軟體防火牆
硬體防火牆:在硬體層級實現部分防火牆功能,另一部分功能基於軟體實現,成本高,效能高
軟體防火牆:應用處理軟體邏輯運作於通用平台之上的防火牆,成本低,效能低
防火牆的功能
入侵偵測功能
網路防火牆技術的主要功能之一就是入侵偵測功能,主要有反連接埠掃描、偵測拒絕服務工具、偵測CGI/IIS伺服器入侵、偵測木馬或網路蠕蟲攻擊、偵測緩衝區溢位攻擊等功能,可大幅減少網路威脅因素的入侵,有效阻擋大多數網路安全攻擊。
網路位址轉換功能
利用防火牆技術可以有效實現內部網路或外部網路的IP位址轉換,可以分成來源位址轉換和目的位址轉換,即SNAT和NAT。 SNAT主要用於隱藏內部網路結構,避免受到外部網路的非法存取和惡意攻擊,有效緩解位址空間的短缺問題,而DNAT主要用於外網主機存取內網主機,以此避免內部網路被攻擊。
網路操作的審計監控功能
透過此功能可以有效地對系統管理的所有操作以及安全資訊進行記錄,提供有關網路使用情況的統計數據,方便電腦網路管理以進行資訊追蹤。
強化網路安全服務
防火牆技術管理可以實現集中化的安全管理,將安全系統組裝在防火牆上,在資訊存取的途徑中就可以實現對網路資訊安全的監管。
防火牆的三表五鏈
#三表: filter表、nat表、mangle表
第一張表:filter表格:放的是經過核心的ip input output forward
第二張表:nat表格:放的不是經過核心的服務input output postrouting prerouting
第三張表:備用表格mangle: input output forward postrouting prerouting
五鏈:input、prerouting、forward、postrouting 、output
#表格功能及核心模組
五鏈:input、prerouting、forward、postrouting 、output
INPUT和OUTPUT均包括經過核心和不經過核心的資訊
FORWARD是經過核心的路由轉送訊息
POSTROUTING是不經過核心路由之後的訊息
PREROUTING是不經過核心路由之前的資訊
推薦學習:Linux影片教學
以上是linux防火牆模組是什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!
