如何理解防火牆?
防火牆分佈較廣,在應用層、網絡層、傳輸層、數據鏈路層均有防火牆。防火牆主要是由“四表五鏈”組成。
“四表”:
- filter表:過濾規則表,根據預定義的規則過濾符合條件的數據包
- nat表:network address translation 地址轉換規則表
- mangle:修改數據標記位規則表
- Raw:關閉NAT表上啓用的連接跟蹤機制,加快封包穿越防火牆速度
優先級由高到低的順序爲:raw–>mangle–>nat–>filter
“五鏈”:五個內置鏈chain
- INPUT
- OUTPUT
- FORWARD
- PREROUTING
- POSTROUTING
表和鏈之間的關係:表在鏈上實現相應的功能
對於防火牆來說共有三種報文流向:
1.流入本機:PREROUTING --> INPUT–>用戶空間進程
2.流出本機:用戶空間進程–>OUTPUT–> POSTROUTING
3.轉發功能:PREROUTING --> FORWARD --> POSTROUTING
filter表實現的是過濾功能,它存在於INPUT、OUTPUT、FORWARD三條鏈上,添加規則到filter表、確定鏈上就可以在固定鏈上實現我們想要的過濾功能了。
nat表是用來進行ip地址轉換的,一般將nat表設置在PREROUTING和POSTROUTING這兩條鏈上,既可以是源ip地址轉換SNAT,也可以是目的ip地址轉換DNAT,其中源ip地址轉換SNAT設置在POSTROUTING鏈上,轉換一下源ip變成接入公網的ip;目的ip地址轉換DNAT設置在PREROUTING鏈上,引導外界訪問的數據包到達用戶空間,把目的ip轉換成自己內部設置的相應的ip。
安全技術
| 技術 | 特點作用 |
|---|---|
| 入侵檢測與管理系統(Intrusion Detection Systems) | 特點是不阻斷任何網絡訪問,量化、定位來自內外網絡的威脅情況,主要以提供報告和事後監督爲主,提供有針對性的指導措施和安全決策依據。一般採用旁路部署方式 |
| 入侵防禦系統(Intrusion Prevention System) | 以透明模式工作,分析數據包的內容如:溢出攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等進行準確的分析判斷,在判定爲攻擊行爲後立即予以阻斷,主動而有效的保護網絡的安全,一般採用在線部署方式 |
| 防火牆(FireWall ) | 隔離功能,工作在網絡或主機邊緣,對進出網絡或主機的數據包基於一定的規則檢查,並在匹配某規則時由規則定義的行爲進行處理的一組功能的組件,基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略 |
防火牆分類
| 分類 | 範圍 |
|---|---|
| 主機防火牆 | 服務範圍爲當前主機 |
| 網絡防火牆 | 服務範圍爲防火牆一側的局域網 |
| 硬件防火牆 | 在專用硬件級別實現部分功能的防火牆;另一個部分功能基於軟件實現,Checkpoint,NetScreen |
| 軟件防火牆 | 運行於通用硬件平臺之上的防火牆的應用軟件 |
| 網絡層防火牆 | OSI下面第三層 |
| 應用層防火牆/代理服務器 | 代理網關,OSI七層 |
網絡層防火牆
包過濾防火牆
網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯,被稱爲訪問控制列表(ACL),通過檢查數據流中每個數據的源地址,目的地址,所用端口號和協議狀態等因素,或他們的組合來確定是否允許該數據包通過
- 優點:對用戶來說透明,處理速度快且易於維護
- 缺點:無法檢查應用層數據,如病毒等
應用層防火牆
應用層防火牆/代理服務型防火牆(Proxy Service)
將所有跨越防火牆的網絡通信鏈路分爲兩段
內外網用戶的訪問都是通過代理服務器上的“鏈接”來實現
- 優點:在應用層對數據進行檢查,比較安全
- 缺點:增加防火牆的負載
現實生產環境中所使用的防火牆一般都是二者結合體(網絡層防火牆+應用層防火牆)
即先檢查網絡數據,通過之後再送到應用層去檢查
