防火牆概念

　　1.什麼是防火牆

　　　　防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體裝置，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護使用者資料與資訊保安性的一種技術。

　　　　其主要功能是防止惡意訪問。

　　2.防火牆的分類

　　　　1.硬體防火牆

　　　　　　在專用硬體級別實現部分功能的防火牆，如F5。

　　　　　　硬體防火牆的效能高，但是成本也高。

　　　　2.軟體防火牆

　　　　　　運行於通用硬體平臺之上的防火牆的應用軟體，如iptables，firlwalld。

　　　　　　軟體防火牆的效能較低，但是成本低。

Iptables

　　1.Iptables介紹

　　　　　　iptables是一種包過濾防火牆，通過系統內設定的過濾邏輯（表）在網路層對資料包進行選擇。

　　2.Iptables命令如何生效

　　　　　　使用者呼叫Iptables，通過核心介面來操作ip_tables核心模組，再通過ip_tables核心模組來修改Netfilter（系統安全框架），實現在網路層對資料包的過濾。

　　3.四表五鏈

　　　　1.四表

　　　　　　表是某些功能的集合，四表是Iptables的主要功能。

　　　　　　1.filter：主要負責過濾功能。

　　　　　　2.nat：負責網路地址的轉換

　　　　　　3.mangle：負責修改資料包內容

　　　　　　4.raw：負責資料包的追蹤

　　　　2.五鏈

　　　　　　鏈指的是某個位置，他不具備功能，但是可以是某個表發揮功能。

　　　　　　1.PREROUTING：主機外報文進入的位置，允許的表mangle，nat。

　　　　　　2.INPUT：報文進入本機使用者空間的位置，允許的表filter，mangle。

　　　　　　3.OUTPUT：報文從本機使用者空間出去的位置，允許的表filter，mangle，nat。

　　　　　　4.FOWARD：報文經過路由發覺不是本機決定轉發但還沒從網絡卡發出，允許的表filter，mangle。

　　　　　　5..POSTROUTING：報文經過路由被轉發出去，允許的表mangle，nat。

　　4.Iptables流程

　　　　Iptables的流程分為3類

　　　　1.流入本機

　　　　　　當外部的資料通過網絡卡進入本機後，在網路層時會經過PREROUTING鏈，在經過了PREROUTING鏈繼續前進到達使用者層之前，會經過INPUT鏈。

　　　　　　過程可簡寫為A ——> PREROUTING ——> INPUT ——> B

　　　　2.流出本機

　　　　　　當用戶從使用者層發出資料之後，會先經過OUTPUT鏈，在經過了了OUTPUT鏈到達路由轉發之前會經過POSTROUTING鏈，之後再發送出去。

　　　　　　該過程可簡寫為：A ——> OUTPUT ——> POSTROUTING ——> B

　　　3.經過本機

　　　　　　本機作為中轉時，報文的最終目的並不是本機，在經過PREROUTING鏈進入本機發現最終目的不是本機時被轉到FORWORD鏈，經過FORWORD鏈後經過POSTROUING鏈轉發出去。

　　　　　　該過程可簡寫為：A ——> PREROUTING ——> FORWARD ——> POSTROUTING ——> B

　　　　3.表所在的鏈

　　　　　　filter可能在的鏈：INPUT、OUTPUT、FORWARD

　　　　　　nat可能在的鏈：PREROUTING、OUTPUT、POSTROUTING

　　　　　　raw可能在的鏈：PREOUTING、OUTING

　　　　　　mangle可能在的鏈：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING