作用

防火牆具有對伺服器很好的保護作用，入侵者必須穿透防火牆的安全防護線，才能接觸目標機器

功能

防火牆對經過它的流量進行一個掃描，這樣能過濾掉一些惡意的流量，以免在目標機器上被執行

防火牆還能夠阻擋，關閉一些不常用的埠，禁止該埠的流量進出

防火牆概念

linux下防火牆一般分為軟體防火牆，硬體防火牆

硬體防火牆:在硬體的級別實現防火牆功能流量過濾功能，效能很高，但是成本也高

軟體防火牆：在軟體系統核心級別實現網路流量的過濾，效能較弱，但是成本很低

軟體防火牆

linux上的防火牆iptables,它是一個防火牆命令列工具，iptales還是一個客戶端代理

通過iptables的代理，將使用者配置的安全策略，執行到對應的安全框架中netfilter

iptables只是一個命令列的工具，處於使用者空間，離使用者最近

真正實現流量過濾的是netfilter,處於系統核心空間，和作業系統離得是最近的

iptables+netfilter共同組成了linux的軟體防火牆，一般就用來替代昂貴的硬體防火牆了

centos7系統下

filrewalld軟體替代了 iptables工具

iptables是把使用者配置的防火牆規則，交給核心層的netfile工具去處理

firewalld服務是把使用者配置的防火牆規則，交給核心層的nftables網路過濾器去處理

iptables

iptables 檢視防火牆規則

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables預設會自上而下的讀取防火牆規則，匹配到正確的規則後，就結束匹配工作，且執行對應的工作

如果讀取的防火牆所有規則都沒有符合，就執行預設的策略

預設策略一般分為2種

允許

拒絕

當預設的規則全部都是拒絕的時候，你就得設定一些允許通過的流量，否則所有的流量都禁止了，就沒意義了

當預設的規則全部都是允許的時候，就得設定一些禁止，拒絕的匹配規則，以保證伺服器的安全