一、防火墙干嘛的
防攻击、优化路由表、优化网卡收发包、过滤策略
二、防火墙分类
四层:网络层防火墙,更快速 -》 包过滤型防火墙
七层:代理层网关防火墙,更安全,效率更低 -》 服务型防火墙
市面产品两者结合
四、防火墙工作流程
4. 1 包过滤防火墙工作原理
4.2 服务型防火墙工作原理
应用层上实现防火墙功能的。它能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。
以下为输入输出在服务器中数据传输过程
以下为iptables 表、链、规则关系
四、代理型防火墙关键技术
3.1 nat
源目的地址转换是 Network Address Translation 的缩写, 这个表格主要在进行来源与目的之 IP 或 port 的转换,与 Linux 本机较无关,主要与 Linux 主机后的局域网络内计算机较有相关。
- PREROUTING:在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
- POSTROUTING:在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)
- OUTPUT:与发送出去的封包有关
3.2 filter
ip过滤,在forward
- INPUT:主要与想要进入我们 Linux 本机的封包有关;
- OUTPUT:主要与我们 Linux 本机所要送出的封包有关;
- FORWARD:这个咚咚与 Linux 本机比较没有关系, 他可以『转递封包』到后端的计算机中,与下列 nat table 相关性较高。
3.3 mangle
修改数据包的内容这个表格主要是与特殊的封包的路由旗标有关, 早期仅有 PREROUTING 及 OUTPUT 链,不过从 kernel 2.4.18 之后加入了 INPUT 及 FORWARD 链。 由于这个表格与特殊旗标相关性较高,所以像咱们这种单纯的环境当中,较少使用 mangle 这个表格。
五、参考资料