Linux之iptables防火墙

一、安全技术

1. 安全技术分类

• 入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署（默默的看着你）方式。

• 入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以 阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）

• 防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默 认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.

2. 防火墙分类

按保护范围划分：

• 主机防火墙：服务范围为当前一台主机

• 网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分:

• 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，如：华为， 山石hillstone,天融信，启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40亿美元收购)等

• 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows 防火墙 ISA --> Forefront

按网络协议划分：

• 网络层防火墙：OSI模型下四层，又称为包过滤防火墙

• 应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

二、Linux防火墙基本知识

1. iptables 组成概念

iptables属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

2. iptables 五表五链

五个表table：filter、nat、mangle、raw、security

• filter：过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表

• nat：network address translation 地址转换规则表

• mangle：修改数据标记位规则表

• raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度

• security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux)实现

五链：

• INPUT: 处理入站数据包，匹配目标IP为本机的数据包。

• OUTPUT: 处理出站数据包，一般不在此链上做配置。

• FORWARD: 处理转发数据包，匹配流经本机的数据包。

• PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

• POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3. 黑白名单

黑名单：默认全部允许通过，添加谁才不允许谁通过。

白名单：默认全部不允许通过，添加谁允许谁通过。

4. iptables 基本语法

iptables  [-t  表名]    选项   [链名]  [条件] [-j 控制类型]