一、什麼是防火牆
其實防火牆就是位於外網和內網之間的一組軟硬體部件的組合
主要是想保護內網的安全和內外網之間資料的流通性
當外網訪問內網的時候傳送的資料報必須經過內網的防火牆檢驗是否符合規則
在linux下面我們把它分為iptables和firewalld兩種防火牆
centos從7.0開始將原先的防火牆iptables換成了firewalld。firewalld支援ipv4,ipv6防火牆設定以及以太橋接,並且擁有執行時配置和永久配置選項,被稱為動態管理防火牆,也就是說不需要重啟整個防火牆便可應用更改。centos7預設安裝了firewalld,若沒有安裝,執行yum install firewalld firewalld-config安裝,其中firewalld-config是gui工具。firewalld與iptables關係:
二、防火牆的三張**五條鏈
系統中的三表五鏈分別是:
三表: filter表、nat表、mangle表
五鏈:input、prerouting、forward、postrouting 、output
系統中的三張表及各自的鏈:
(1)filter表
input output forward
input output都要經過本機核心
經過核心都叫forward(相當於大腦思考)
核心上開啟服務ftp http
inout從外邊傳輸資料給核心
ouput從核心將結果傳送出來
從本機進來繞過本機服務,從本機出來
經過了核心,但不使用核心服務,不是把資料給核心,只是做轉換
(2)nat表
input output 都不經過核心
postouting 路由之後,做原位址封裝,資料訪問目的地主機,output時在路由埠做nat轉換,發生在路由之後
preouting 路由之前,資料從目的地主機傳回時經過路由,在路由埠轉換
(3)mangle表
當系統中filter表和nat表不夠用時,會使用mangle表
input output #包括經過核心和不經過核心的資料
forward #經過核心的路由**
prerouting #不經過核心,路由之前的資訊
postrouting #不經過核心,路由之後的資訊
三、總結
如果要訪問某台主機上面的http服務,必須先經過那台主機的核心允許,才可以進行訪問
防火牆其實也是在核心上面開啟的乙個服務
防火牆裡面有**,寫一些規則,允許哪個主機訪問什麼服務,這個**由iptables進行控制
但是有兩種規則:iptables 與 firewalld
第一張表:filter**:放的是經過核心的ip input output forward
第二張表:nat**:放的不是經過核心的服務 input output postrouting prerouting
第三張表:備用**mangle: input output forward postrouting prerouting
防火牆的基本概念
1 防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。2 所謂...
防火牆的基本概念及iptables四表五鏈詳解
從邏輯上講,防火牆大體可以分為主機防火牆和網路防火牆 網路防火牆和主機防火牆互不影響,可以理解為網路防火牆負責外 集體 主機防火牆負責內 個人 從物理上講,防火牆可以分為硬體防火牆和軟體防火牆 入侵檢測功能 網路防火牆技術的主要功能之一就是入侵檢測功能,主要有反埠掃瞄 檢測拒絕服務工具 檢測cgi ...
防火牆基本概念及分類
乙個網路連線到internet,其內網可以與外網進行通訊,外網也可以與內網進行互動。但是外網可謂魚龍混雜,充滿的許多的不安全因素,那麼為了保證內網系統的安全,就需要在內網與外網之間插入乙個中介,阻擋來自外網的威脅和攻擊。那麼這個中介就叫作防火牆。防火牆是指設定在不同網路或者網路安全域之間的一系列部件...