防火墙概述:
防火墙是整个数据包进入主机前的第一道关卡,是一种应用于网络上的过滤机制。
从保护对象上可分为:主机防火墙、网络防火墙;从物理上可分为:硬件防火墙、软件防火墙;
防火墙主要通过Netfilter与TCP Wrappers两个机制来管理的。
1)Netfilter:数据包过滤机制
2)TCP Wrappers:程序管理机制
关于数据包过滤机制(Netfilter)有两个软件:firewalld与iptables
一、Netfilter 机制
1. netfilter 组件
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
2. 三表五链
三表:
filter #对包进行过滤,即定义允许或者不允许的
nat #进行地址转换/端口转发
mangle #对数据包进行修改
实际上还有raw 和security表,常用到的只有filter和nat表
raw #一般是为了不再让iptables对数据包进行跟踪,提高性能
security #用于强制访问控制(MAC)网络规则
五链:
PREROUTING #路由之前
INPUT #数据包入口;作用于输入本机的数据包
FORWARD #转发管卡;作用于与本机无关的数据包
OUTPUT #数据包出口;作用与本机输出的数据包
POSTROUTING #路由之后
filter表:
INPUT | FORWARD | OUTPUT |
---|---|---|
作用于输入本机的数据包 | 作用于与本机无关的数据包 | 作用与本机输出的数据包 |
nat表:
PRERPUTING | OUTPUT | POSTROUTING |
---|---|---|
在包刚刚到达防火墙时改变它的目的地址(DNAT) | 改变本地产生的包的目的地址 | 在包离开防火墙之前改变其源地址 (SNAT) |
注意:一般mangle表很少用到;当filter和nat表不够用时,才用mangle表来进行补充说明。
报文流向:
流入本机:PREROUTING --> INPUT-->用户空间进程
流出本机:用户空间进程-->OUTPUT--> POSTROUTING
转发:PREROUTING --> FORWARD --> POSTROUTING
内核中数据包的传输过程:
(1)当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去
(2)如果数据包就是进入本机的,数据包就会到达INPUT链。经INPUT链检查后,数据包被发往本地进程。
本地进程进行相应处理后发送响应数据包,数据包经过OUTPUT链,然后到达POSTROUTING链输出;
如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
二、Firewalld 与 Iptables
Firewalld:
firewalld是一种提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具
它自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,
他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。
(1). 区域管理
通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。
例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,
初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。
注:firewalld的默认区域是public
(3). 配置文件
firewalld默认提供了九个zone配置文件:
block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml
他们都保存在“/usr/lib/firewalld/zones/”目录下。
Iptables:
iptables是与内核集成的 IP 信息包过滤系统。它是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
它准确来讲并不是防火墙,真正的防火墙是运行于系统内核中的 netfilter,而 iptables 仅仅是 netfilter 的代言人,
其所负责的主要功能便是与用户交互,获取到用户的要求,并转化成 netfilter 可以接受的信息。
三 、Firewalld 和 Iptables 的异同
相同点:
firewalld 与 iptables 都是 linux 中防火墙的管理程序,
但其实其角色主要为对于防火墙策略的管理,真正的防火墙执行者是位于内核中的netfilter
不同点:
1. iptables 仅能通过命令行进行配置;而 firewalld 提供了图形接口,类似windows防火墙的操作方式
2. iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接
3. iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中
4. iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程
5. iptables 通过控制端口来控制服务,而 firewalld 则是通过控制协议来控制端口
四 、SNAT与DNAT
SNAT 在路由之后 做源地址转换 (postrouting)
DNA 在路由之前 做目的地地址转换 (prerouting)
(1).概述
SNAT: A--->B--->C (比如我们想要访问百度,淘宝等网站)
企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,
B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;
C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,
B收到回应包后修改其目的地址,即回应包改为(源:ipC,目标:ipA)然后将数据包转发给A。
在这个过程中,修改了请求报文的源地址,叫做SNAT(source NAT POSTROUTING),用于局域网访问互联网。
不能在防火墙B的prerouting链上设置转换源地址的防火墙策略,因为若在B的prerouting链上设置转换源地址的防火墙策略,此时还未检查路由表,
还不知道要到达数据包中目标主机需经过本机的哪个网卡接口,即还不知道需将源地址替换为哪个公网网卡的ip,需在postrouting设置转换源地址的防火墙策略。
DNAT: C--->B--->A (比如对外发布web网站)
互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,
C的请求数据包(源:ipC,目标:ipB)到达防火墙B后,在B的prerouting上将请求数据包的目标地址进行修改,并将数据包(源:ipC,目标:ipA)发送给A。
A收到后进行回复发送响应包(源:ipA,目的ipC)到防火墙,防火墙收到后对数据包源地址进行修改,并将响应包(源:ipB,目标:ipC)给C。
利用这种机制可以将企业内部的服务发布到互联网。
在这个过程中,修改了请求报文的目标地址,叫做DNAT(destination NAT POSTROUTING),用于互联网访问局域网。
必须在防火墙的prerouting上设置修改目标地址的防火墙策略,因为若不在此处修改,请求数据包通过prerouting和路由表后,
由于目标主机是本机,就会将数据包发往input,进而被发往本地进程。
(2).用途
SNAT:源地址转换,其作用是将ip数据包的源地址转换成另外一个地址。
1.保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被攻击的可能。
2.Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT。
3.省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网。
DNAT:目的地地址转换,其作用是将一组本地内部的地址映射到一组全球地址。
在内网中有服务器,如果想让公网用户访问有两种方法。
1.配置双网卡,一网卡对内,一网卡对外;一般是高访问量的web服务器,为了避免占用网关的流量才这样做,使用不是很广泛。
2.内网web服务器,或是ftp服务器,为了用户在公网也可以访问,有不想买公网ip地址,采用DNAT方案。
(3). 应用场景
SNAT:
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,
将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
DNAT:
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,
此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。