Linux- Linux防火墙概述

1 简介

1)防火墙(Firewal):计算机网络中的防火墙通常连接两个网络,是外部 Internet 和内部网络之间的交汇点,同时也是一道屏障

      主要功能:实施安全策略、过滤传输数据、记录Internet 活动、 IP 地址转换、保护内部网络信息

2)防火墙类型:包过滤防火墙,代理防火墙,状态检测防火墙。

      包过滤防火墙对通过它的每一个数据包,根据事先制 订好的规则,对它的源地址、目的地址以及相应的端口进 行判断,把不合规则的数据包都过滤掉。 优点:处理来速度快,对用户透明 。缺点:不能实现用户级认证日志记录不完善无法防御IP欺 骗;对特殊协议不适用

      代理也称为应用网关防火墙,核心是代理技术, 即 代替客户处理对服务器连接请求。 优点:安全性高 过滤规则灵活 详细的日志记录 缺点:处理速度慢; 对用户不透明; 代理服务类型有限制

      状态检测防火墙又称为动态包过滤防火墙。 其主要特点在于:第一,在防火墙的核心部分建立状态连接表,并将进出网络 的数据当成一个个的会话,利用状态表跟踪每个会话状态。第二,防火墙首先根据规则表来判断是否允许这个数据包通 过,如果不符合规则就立即丢弃;如果符合规则,再 将当前的数据包和状态信息,与前一时 刻的数据包和 状态信息进行比较,然后根据比较结果决定数据包是 否能够通过防火墙 。

3)防火墙结构:屏蔽路由器 ,双穴主机 ,屏蔽主机防火墙 ,屏蔽子网防火墙,其它结构。

      屏蔽路由器  ( 包过滤  ) ,优点:处理速度快 费用低;对用户透明 缺点:维护困难只能阻止较少的IP欺骗; 无用户认证 日志功能有限; 当规则过多时,处理速度及吞吐速度急速下 降,无法对信息全面控制

      双穴主机  ( 双宿网关  ) ,优点:安全性比屏蔽路由器高 缺点:入侵者一旦得到双穴主机的访问权,内部网络就会被 入侵,因此需具有强大的身份认证系统,才可以阻挡来自外 部的不可信网络的非法入侵。

      屏蔽主机防火墙,优点:实现了网络层安全  ( 包过滤  ) 和应用层安全 ( 代 理  ),因此安全等级比屏蔽路由器高 缺点:堡垒主机可能被绕过,堡垒主机与其它内部主机 间没有任何保护网络安全的东西存在,一旦被攻破,内 网就将暴露

2  Linux防火墙

Linux防火墙采用包过滤技术,总体看防火墙发展经 历了四个发展阶段

      静态防火墙: ipfwadm(kernel 2.0) ;ipchains(kernel 2.2) ;iptables(kernel 2.4 later) ;需要自行书写规则及相关信息  , 每次改变后都要重 新启动防火墙

      动态防火墙: firewalld(RHEL7 新纳入的防火墙  ),在更改防火墙规则后,不需要重新加载相关服务 和模块,达到改变及应用的效果。

      firewalld 看起来是一个非常新的防火墙,实际上 仍然采用了 netfilter/iptables 的底层架构。虽然在应 用上变化非常大,但底层实质意义上没有太多的改变。


转载请注明出处,谢谢!

你可能感兴趣的:(Linux系统)