Firewall 防火墙基础

1. 防火墙技术

防火墙是用于阻止计算机之间直接通信，位于两个或多个网络间，实施网络之间访问控制的组件集合。

技术	协议栈	判据	检测内容	逻辑位置	物理位置	代表
静态包过滤	网络层	访问控制表	源地址, 目的地址	网络边界	负责内外网络转换的网关, 个人计算机	已退出市场
动态包过滤	网络层, 传输层	访问控制表	端口号, 协议状态	网络边界	负责内外网络转换的网关, 个人计算机	无
应用级网关	应用层	应用协议分析	截进出某应用程序的所有封包，并且封锁其他的封包，通常是直接将封包丢弃	两个网络的驳接处	通用PC平台或芯片级专用硬件平台	NetScreen, FortiNet
代理服务	应用层	略	略	略	小型的带有数据检测过滤功能的透明代理服务器	略
状态监视	略	略	略	略	略	Checkpoint
数据库协议分析与控制技术	略	略	略	略	略	略

2. 防火墙策略

策略	内容
通策略	默认门是全关的，必须要定义谁能进
堵策略	默认门是洞开的，有身份认证就能进

3. 应用软件

iptables 现在被做成了一个服务，可以进行启动，停止的。启动，则将规则直接生效，停止，则将规则撤销。

iptables 还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。

在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。

软件包	工作空间	功能
iptables	用户空间	规则列表，定义规则和策略
netfilter	内核空间	网络过滤器，读取规则和策略

4. 数据包流向

一个特定是数据包必定会经过规则链中的一个或多个。

类型	流向
本机向外界发	Output -> Postrouting
外界向本机发	Prerouting -> Input
外界经过本机向外界发	Prerouting -> Forward -> Postrouting

5. 规则链

也叫做钩子函数（hook functions），由 netfilter 规定。

规则链就是规则的集合。针对特定数据包的各种防火墙规则，按照顺序依次放入对应的链中。

名称	位置	含义	内容	判断时机	举例
PREROUTING	路由前	for altering packets as soon as they come in	当收到要通过防火墙发送给其他网络地址的数据包时应用的规则	在对数据包做路由选择之前	略
INPUT	数据包入口	for packets destined to local sockets	外界访问防火墙数据的规则的集合	收到访问防火墙本地地址的数据包时	限制某IP是否可以管理防火墙
FORWARD	转发关卡	for packets being routed through the box	所有通过防火墙的数据的规则的集合	收到要通过防火墙发送给其他网络地址的数据包时	限制某IP是否能访问某网站
OUTPUT	数据包出口	for locally-generated packets	防火墙访问外界数据的规则的集合	防火墙本机向外发出数据时	是否允许防火墙对外进行DNS解析
POSTROUTING	路由后	略	略	在对数据包做路由选择之后	略

1. 名词

状态监视 Stateful Inspection

应用协议分析(Application Protocol Analysis)技术工作在OSI模型的最高层——应用层上，在这一层里能接触到的所有数据都是最终形式，也就是说，防火墙“看到”的数据和我们看到的是一样的，而不是一个个带着地址端口协议等原始内容的数据包，因而它可以实现更高级的数据检测过程。

通用PC平台：使用标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统

专用硬件平台：采用专门设计的硬件平台，搭建专门开发的防火墙软件

静态数据包过滤 Static Packet Filtering

动态数据包过滤 Dynamic Packet Filtering 与基于状态的包过滤防火墙技术，即Stateful-based Packet Filtering 其实是同一类型

应用级网关 Application Level Gateways

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or
TCP Tunnels)

访问控制表 Access Control Table

协议栈：TCP/IP 协议栈层级

网络边界：两个网络之间的接口处，称为边界防火墙，工作于操作系统网络处理接口与网络驱动程序接口(Network Driver Interface Specification，NDIS)之间

代理服务器(Transparent Proxy)

网络边界，即两个网络之间的接口处，在操作系统网络处理接口与网络驱动程序接口之间

2. 在协议栈的不同层级有什么不同？

在网络层只能对源地址和目标地址进行检测，而在应用层，软件处理的数据同人们看到的数据，包含所有信息。

3. 什么影响防火墙的性能？

吞吐量可能成为流量瓶颈。

6. 规则表定义

为了让各个功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。

除了三张默认的表外，我们还可以自定义额外的链。

规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

规则表	内容	作用于哪种数据包或规则链
filter	定义过滤功能，即数据包中的通策略或堵策略，用于管理本机数据包的进出。	INPUT, FORWARD, OUTPUT
nat	定义地址转换功能。用于来源地与目的地的 IP 或 port 转换，用于管理后端主机（防火墙内部主机的）访问internet。与本机无关。主要与 Linux 主机后的内部计算机有关	PREROUTING, OUTPUT, POSTROUTING
mangle	修改报文原数据，即特殊数据包的路由标记，即修改TTL。能够实现将数据包的元数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle来实现的。用于管理有特殊标记的包	PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING
raw	略	略
security	略	略

7. 参考

http://zhidao.baidu.com/question/23063704.html

http://www.xuexila.com/diannao/360634.html

http://blog.chinaunix.net/uid-23886490-id-3167640.html

http://drops.wooyun.org/tips/1424

http://blog.chinaunix.net/uid-9950859-id-98279.html

http://blog.chinaunix.net/uid-26495963-id-3279216.html

http://blog.csdn.net/houlc/article/details/7089436