防火墙作为公网和内网之间的保护屏障,在保障数据安全性方面起着至关重要的作用。
相较于企业内网,外部的公网环境更加恶略,罪恶丛生。在公网和企业内网之间充当保护屏障的防火墙虽然有软件和硬件之分,但主要功能都是依据策略
对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用信息来定制,然后防火墙使用预先定制的策略规则监控出入的
流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。
iptables和firewalld其实都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务会把配置好的
防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。换句话说,当前
linux系统中其实存在多个防火墙管理工具,旨在方便运维人员管理linux系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣,但
它们在防火墙策略的配置思路上是保持一致的。