Linux下轻松理解防火墙的工作原理及相关设置（一）基本概念

防火墙是什么

1.防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。
2.防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。
3.它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。
4.防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，
5.防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

6.防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术

防火墙的功能

1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和DNAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

防火墙的原理图

本质上讲，火墙就是一些表格的集合（netfilter)
表格里的内容是策略，用iptables添加
控制iptables的有iptables工具和firewalld工具，Linux中企业7之前自动开启的是iptables，企业7之后是firewalld。

火墙的三表五链

什么是表和链

链:
表：
表和链的关系

三表五链的内容

三表：

filter 	过滤，防火墙，过滤数据包
nat 	 用于网络地址转换（IP、端口）
mangle 	拆解报文，作出修改，封装报文

五链：

PREROUTING 	数据包进入路由之前
INPUT 	目的地址为本机
FORWARD 	实现转发
OUTPUT 	原地址为本机，向外发送数据
POSTROUTING  发送到网卡之前 	

filter表:
对于上图来说，将左边绿色框看作内网主机，右边红色主机看做外网主机。中间的一半红一半绿色的主机为双网卡主机。它既可以直接与左边主机通信，又可以直接与右边主机通信。

当绿色主机中间主机发送数据时，此数据就为中间主机的input ，它经过内核。
中间主机对绿色主机的响应数据就是output，它经过内核。

对于上图来说，绿色主机想要访问红色主机的dns服务。但它不能直接访问红色主机，因为不在一个网段，它只能经过中间主机进行地址转换。
此时，在中间主机上，绿色主机的内容经过内核路由的转发，被伪装成包有红色主机ip外壳的主机，就可以与红色主机连接，此过程就是forward。

此时对中间主机来说,它的output并不经过内核，也就是nat表中的output，由上图可以看出，中间主机的input也不经过内核路由。

nat表 每个链都不经过内核

可以看出中间主机的postrouting也不经过内核。

最后，当红色主机向绿色主机发送数据时（外网主机向内网主机发送数据时），不经过内核，叫做prerouting

mangle表
managle 是当其他表不够时，才用的。

总结：
input 和output 有经过内核和不经过内核之分
forward是经过内核的地址转发。
prerouting和postrouting不经过内核。