【年度钻石】Linux云计算+运维（2）《博学谷-黑马》

防火墙分类

【年度钻石】Linux云计算+运维笔记（2）《博学谷-黑马》 提娶马：xb2k

逻辑上划分，防火墙能够大致分为主机防火墙和网络防火墙
主机防火墙：针对于单个主机进行防御
网络防火墙：针对网络进行防御，处于网络边缘，防火墙背后是本地局域网
网络防火墙主外(服务集体)，主机防火墙主内(服务我的)
物理上划分，防火墙可分为硬件防火墙和软件防火墙
硬件防火墙：在硬件级别实现防火墙功能，另外一部分基于软件实现，其性能高，硬件成本高
软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，其性能相较于硬件防火墙低，成本较低，对于Linux系统已自带，直接使用便可。V(cmL46679910)

防火墙性能

吞吐量

并发链接
新建链接
时延
抖动

硬件防火墙

硬件防火墙定义

硬件防火墙是指把具有配置数据包经过规则的软件嵌入硬件设备中，为网络提供安全防御的硬件设备。多见于网络边
缘。

硬件防火墙做用

 

硬件防火墙品牌

Juniper

 cisco 思科A

\

\

华为

 

 天融信

软件防火墙

软件防火墙是单独使用具有配置数据包经过规则的软件来实现数据包过滤。多见于单主机系统或我的计算机。

 

iptables中表的概念

每一个“规则链”上都设置了一串规则，这样的话，咱们就能够把不一样的“规则链”组合成可以完成某一特定功能集合分
类，而这个集合分类咱们就称为表，iptables中共有5张表，学习iptables须要搞明白每种表的做用。
filter: 过滤功能，肯定是否放行该数据包，属于真正防火墙，内核模块：iptables_filter
nat: 网络地址转换功能，修改数据包中的源、目标IP地址或端口；内核模块：iptable_nat
mangle: 对数据包进行从新封装功能，为数据包设置标记；内核模块：iptable_mangle
raw: 肯定是否对数据包进行跟踪；内核模块：iptables_raw
security:是否认义强制访问控制规则；后加上的

iptables中表链之间的关系

咱们在应用防火墙时是以表为操做入口的，只要在相应的表中的规则链上添加规则便可实现某一功能。那么咱们就应
该知道哪张表包括哪些规则链，而后在规则链上操做便可。
filter表可使用哪些链定义规则：INPUT,FORWARD,OUTPUT
nat表中可使用哪些链定义规则：PREROUTING,OUTPUT ,POSTROUTING,INPUT
mangle 表中可使用哪些链定义规则：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
raw表中可使用哪些链定义规则：PREROUTING，OUTPUT

iptables规则匹配及动做

规则：根据指定的匹配条件来尝试匹配每一个流经此处的数据包，匹配成功，则由规则指定的处理动做进行处理。
规则是由匹配条件和动做组成的，那么规则是什么呢？
举例说明：
两个同窗，一个白头发，一个黑头发，同时进教室，而进教室的条件是只有黑头发能够进入，白头发拒绝进入，黑头
发和白头发就是匹配条件，而能够进入和拒绝进入就是动做。
iptables规则匹配条件分类
基本匹配条件：
源地址，目标地址，源端口，目标端口等

基本匹配使用选项及功能

-p 指定规则协议，tcp udp icmp all
-s 指定数据包的源地址，ip hostname
-d 指定目的地址
-i 输入接口
-o 输出接口
! 取反
V(cmL46679910)

基本匹配的特色是：无需加载扩展模块，匹配规则生效 扩展匹配条件： 扩展匹配又分为显示匹配和隐式匹配。 扩展匹配的特色是：须要加载扩展模块，匹配规则方可生效。 隐式匹配的特色：使用-p选项指明协议时，无需再同时使用-m选项指明扩展模块以及不须要手动加载扩展模块； 显示匹配的特色：必须使用-m选项指明要调用的扩展模块的扩展机制以及须要手动加载扩展模块。 隐式匹配选项及功能