【年度鑽石】Linux雲計算+運維（2）《博學谷-黑馬》

防火牆分類

【年度鑽石】Linux雲計算+運維筆記（2）《博學谷-黑馬》 提娶馬：xb2k

邏輯上劃分，防火牆能夠大致分爲主機防火牆和網絡防火牆
主機防火牆：針對於單個主機進行防禦
網絡防火牆：針對網絡進行防禦，處於網絡邊緣，防火牆背後是本地局域網
網絡防火牆主外(服務集體)，主機防火牆主內(服務我的)
物理上劃分，防火牆可分爲硬件防火牆和軟件防火牆
硬件防火牆：在硬件級別實現防火牆功能，另外一部分基於軟件實現，其性能高，硬件成本高
軟件防火牆：應用軟件處理邏輯運行於通用硬件平臺之上的防火牆，其性能相較於硬件防火牆低，成本較低，對於Linux系統已自帶，直接使用便可。V(cmL46679910)

防火牆性能

吞吐量

併發鏈接
新建鏈接
時延
抖動

硬件防火牆

硬件防火牆定義

硬件防火牆是指把具有配置數據包經過規則的軟件嵌入硬件設備中，爲網絡提供安全防禦的硬件設備。多見於網絡邊
緣。

硬件防火牆做用

 

硬件防火牆品牌

Juniper

 cisco 思科A

\

\

華爲

 

 天融信

軟件防火牆

軟件防火牆是單獨使用具有配置數據包經過規則的軟件來實現數據包過濾。多見於單主機系統或我的計算機。

 

iptables中表的概念

每一個「規則鏈」上都設置了一串規則，這樣的話，咱們就能夠把不一樣的「規則鏈」組合成可以完成某一特定功能集合分
類，而這個集合分類咱們就稱爲表，iptables中共有5張表，學習iptables須要搞明白每種表的做用。
filter: 過濾功能，肯定是否放行該數據包，屬於真正防火牆，內核模塊：iptables_filter
nat: 網絡地址轉換功能，修改數據包中的源、目標IP地址或端口；內核模塊：iptable_nat
mangle: 對數據包進行從新封裝功能，爲數據包設置標記；內核模塊：iptable_mangle
raw: 肯定是否對數據包進行跟蹤；內核模塊：iptables_raw
security:是否認義強制訪問控制規則；後加上的

iptables中表鏈之間的關係

咱們在應用防火牆時是以表爲操做入口的，只要在相應的表中的規則鏈上添加規則便可實現某一功能。那麼咱們就應
該知道哪張表包括哪些規則鏈，而後在規則鏈上操做便可。
filter表可使用哪些鏈定義規則：INPUT,FORWARD,OUTPUT
nat表中可使用哪些鏈定義規則：PREROUTING,OUTPUT ,POSTROUTING,INPUT
mangle 表中可使用哪些鏈定義規則：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
raw表中可使用哪些鏈定義規則：PREROUTING，OUTPUT

iptables規則匹配及動做

規則：根據指定的匹配條件來嘗試匹配每一個流經此處的數據包，匹配成功，則由規則指定的處理動做進行處理。
規則是由匹配條件和動做組成的，那麼規則是什麼呢？
舉例說明：
兩個同窗，一個白頭髮，一個黑頭髮，同時進教室，而進教室的條件是隻有黑頭髮能夠進入，白頭髮拒絕進入，黑頭
發和白頭髮就是匹配條件，而能夠進入和拒絕進入就是動做。
iptables規則匹配條件分類
基本匹配條件：
源地址，目標地址，源端口，目標端口等

基本匹配使用選項及功能

-p 指定規則協議，tcp udp icmp all
-s 指定數據包的源地址，ip hostname
-d 指定目的地址
-i 輸入接口
-o 輸出接口
! 取反
V(cmL46679910)

基本匹配的特色是：無需加載擴展模塊，匹配規則生效 擴展匹配條件： 擴展匹配又分爲顯示匹配和隱式匹配。 擴展匹配的特色是：須要加載擴展模塊，匹配規則方可生效。 隱式匹配的特色：使用-p選項指明協議時，無需再同時使用-m選項指明擴展模塊以及不須要手動加載擴展模塊； 顯示匹配的特色：必須使用-m選項指明要調用的擴展模塊的擴展機制以及須要手動加載擴展模塊。 隱式匹配選項及功能