Iptables防火墙

1.安全相关

(1)入侵检测与管理系统（Intrusion Detection Systems）

特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式(就是放在一边观察检测)

(2)入侵防御系统（Intrusion Prevention System）

以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式

(3)防火墙（ FireWall/Iptables ）

隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略

2.防火墙分类

 主机防火墙：服务范围为当前主机
 网络防火墙：服务范围为防火墙一侧的局域网
 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，Checkpoint,NetScreen软件防火墙：运行于通用硬件平台之上的防火墙的应用软件
 网络层防火墙：OSI下面第三层
 应用层防火墙/代理服务器：代理网关，OSI七层

(1)网络层防火墙

 包过滤防火墙
 网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过
 优点：对用户来说透明，处理速度快且易于维护
 缺点：无法检查应用层数据，如病毒等

(2)应用层防火墙/代理服务型防火墙（Proxy Service）

 将所有跨越防火墙的网络通信链路分为两段
 内外网用户的访问都是通过代理服务器上的“链接”来实现
 优点：在应用层对数据进行检查，比较安全
 缺点：增加防火墙的负载
 现实生产环境中所使用的防火墙一般都是二者结合体
 即先检查网络数据，通过之后再送到应用层去检查

3.iptables简介

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

4.相关名词

名词	含义	对比
容器	存放内容/存放东西	罐/碗/盆
Netfilter/iptables	是表的容器	国家
表(table)	表是用来存放链的容器	省
链(chain)	链 存放规则的容器	市
规则(policy)	准许/拒绝访问	区/县

5.防火墙执行过程

防火墙是层层过滤的，实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
如果匹配上规则，即明确表示是阻止(DROP)还是通过(ACCEPT)数据包就不再向下匹配新的规则。
如果规则中没有明确表明是阻止还是通过的，也就是没有匹配规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
防火墙的默认规则是所有规则执行完才执行的。

6.四表及功能

表	功能
Filter	过滤,默认的表，防火墙功能
NAT	实现NAT转化：1.共享上网 2.端口转发
mangle	查询帮助man iptables
raw	查询帮助man iptables

7.四表中的五链