|
一,防火墙的分类
1,软硬件形式:软件防火墙;硬件防火墙;芯片级防火墙
2,防火墙技术:包过滤型;应用代理型
3,防火墙结构:单一主机防火墙;分布式防火路由器集成式防火墙;墙
4,防火墙应用布置背景:边界防火墙;个人防火墙;混合防火墙
5,防火墙性能:百兆级防火墙;千兆级防火墙
二,防火墙的核心:数据报文过滤
工作在主机或者网络的边缘,对进出的报文进行检查,监控,并且能够根据事先定义的匹配条件和规则做出相应的动作的组件,机制或者系统。
三,防火墙的功能
1,可以保护易受攻击服务
2,控制内外网之间网络系统的访问
3,集中管理内网的安全性,降低管理成本
4,提高网络的保密性和私有性
5,记录网络的使用状态,为安全规划和网络维护提供依据
四,静态防火墙和动态防火墙
1,静态防火墙:哪怕只修改一条规则也要进行所有规则的重新载入的模式。
2,动态防火墙:任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的iptables即可。
五,静态包过滤防火墙和动态包过滤防火墙
1,静态包过滤防火墙
1)概念:利用静态包过滤规则建立的防火墙
2)主要的3个功能
(1)接受每个到达的数据包
(2)对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查。如果数据包的头信息与一组规则匹配,则根据改规则确定是转发还是丢弃该数据包
(3)如果没有规则与该数据包头信息匹配,则对数据包施加默认规则。默认规则可以丢弃或者接收所有数据包。默认丢弃数据包规则更加严格,而默认接收数据包规则更加开放。通常,防火墙首先默认丢弃所有数据包,然后再逐个执行过滤规则,以加强对数据包的过滤。
3)原理:对于静态包过滤防火墙来说,决定接收或者拒绝一个数据包,取决于对数据包中IP头和协议头等特定域的检查和判定,这些定义域包括:(1)数据源地址;(2)目的地址;(3)应用域协议;(4)源端口号;(5)目的端口号。
4)安全性
(1)无法防御IP地址欺骗攻击(无法区分真实的IP地址和伪造的IP地址)
(2)隐信道攻击(由于静态包过滤防火墙仅检查那些特定的协议头信息:【1】源/目的IP地址;【2】源/目的端口号(服务类型),因此黑客可能将恶意的命令或数据隐藏在那些未经检查的头信息中)
(3)缺少状态感知能力(一些需要动态分配端口的服务需要防火墙打开许多端口,即管理员必须为静态包过滤规则打开所有的端口,因此增大了网络的安全性风险)
2,动态包过滤防火墙
1)概念:直接对“连接”进行处理,而不是仅对数据包有信息进行检查
2)规则:就是指网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤的表中,这些规则分别指定了源地址,目的地址,传输协议(tcp;udp;icmp)和服务类型(http;ftp;smtp等),当数据包与规则匹配时iptables就根据规则所定义的方法来处理这些数据包,如放行(accept);拒绝(reject)和丢弃(drop)等。配合防火墙的主要规则就是添加,修改删除这些规则。
3)4表5链
表:提供特定的功能,iptables内置了4个表。分别用于实现包过滤,网络地址转换,包重构(修改)和数据跟踪处理。
链:数据包传输的路径,每一条其实就是众多规则中的一个检查清单,每一条链中可以有一条或者数条规则。当一个数据包到达数据链时,iptables就会从链中的第一条规则开始检查,看数据包是否满足规则所定义的条件。如果满足,系统就会根据该规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中的任意一条规则,iptables就会根据该链预先定义的默认策略来处理包数据。
(1)4表
filter表(数据包过滤)
nat表(地址转换)
mangle表(报文重构)
raw表(原始报文【相关服务的包要传输可以定义raw表可以快速查询】)
四个表的优先级:raw>mangle>nat>filter(由高到低)
(2)5链
INPUT链:当接收到防火墙本机地址的数据包(入站)时应用。(mangle;filter)
OUTPUT链:当防火墙本机向外发送数据包(出站)时应用。(mangle;nat;filter;raw)
FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时应用。(mangle;filter)
PREROUTING链:在对数据包作路由选择前应用。(raw;mangle;nat)
POSTROUTING链:在对数据包作路由选择后应用。(mangel;nat)
|