linux防火墻模塊指的是什么

這篇“l(fā)inux防火墻模塊指的是什么”文章的知識(shí)點(diǎn)大部分人都不太理解，所以小編給大家總結(jié)了以下內(nèi)容，內(nèi)容詳細(xì)，步驟清晰，具有一定的借鑒價(jià)值，希望大家閱讀完這篇文章能有所收獲，下面我們一起來(lái)看看這篇“l(fā)inux防火墻模塊指的是什么”文章吧。

在linux中，防火墻模塊指的是架設(shè)在互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的信息安全系統(tǒng)，根據(jù)企業(yè)預(yù)定的策略來(lái)監(jiān)控往來(lái)的傳輸；linux中存在iptables和firewalld兩種防火墻，iptables更接近數(shù)據(jù)的原始操作，精度更高，而firewalld則更容易操作。

本教程操作環(huán)境：linux7.3系統(tǒng)、Dell G3電腦。

linux防火墻模塊

在計(jì)算機(jī)科學(xué)領(lǐng)域中，防火墻（Firewall）是一個(gè)架設(shè)在互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的信息安全系統(tǒng)，根據(jù)企業(yè)預(yù)定的策略來(lái)監(jiān)控往來(lái)的傳輸。

防火墻可能是一臺(tái)專屬的網(wǎng)絡(luò)設(shè)備或是運(yùn)行于主機(jī)上來(lái)檢查各個(gè)網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)傳輸。它是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備，從專業(yè)角度來(lái)說(shuō)，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)行網(wǎng)絡(luò)間訪問(wèn)或控制的一組組件集合之硬件或軟件

Linux中存在iptables和firewalld兩種防火墻

• iptables：更接近數(shù)據(jù)的原始操作，精度更高

• firewalld：更易操作

防火墻的分類

邏輯層面

從邏輯上講，防火墻大體可以分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻

• 主機(jī)防火墻：主要針對(duì)單個(gè)主機(jī)進(jìn)行防護(hù)

• 網(wǎng)絡(luò)防火墻：往往處于網(wǎng)絡(luò)入口或邊緣，針對(duì)于網(wǎng)絡(luò)入口進(jìn)行防護(hù)，服務(wù)于防火墻背后的本地局域網(wǎng)

網(wǎng)絡(luò)防火墻和主機(jī)防火墻互不影響，可以理解為網(wǎng)絡(luò)防火墻負(fù)責(zé)外（集體），主機(jī)防火墻負(fù)責(zé)內(nèi)（個(gè)人）

物理層面

從物理上講，防火墻可以分為硬件防火墻和軟件防火墻

• 硬件防火墻：在硬件級(jí)別實(shí)現(xiàn)部分防火墻功能，另一部分功能基于軟件實(shí)現(xiàn)，成本高，性能高

• 軟件防火墻：應(yīng)用處理軟件邏輯運(yùn)行于通用平臺(tái)之上的防火墻，成本低，性能低

防火墻的功能

入侵檢測(cè)功能

網(wǎng)絡(luò)防火墻技術(shù)的主要功能之一就是入侵檢測(cè)功能，主要有反端口掃描、檢測(cè)拒絕服務(wù)工具、檢測(cè)CGI/IIS服務(wù)器入侵、檢測(cè)木馬或者網(wǎng)絡(luò)蠕蟲(chóng)攻擊、檢測(cè)緩沖區(qū)溢出攻擊等功能，可以極大程度上減少網(wǎng)絡(luò)威脅因素的入侵，有效阻擋大多數(shù)網(wǎng)絡(luò)安全攻擊。

網(wǎng)絡(luò)地址轉(zhuǎn)換功能

利用防火墻技術(shù)可以有效實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可以分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換，即SNAT和NAT。SNAT主要用于隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免受到來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)和惡意攻擊，有效緩解地址空間的短缺問(wèn)題，而DNAT主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)，以此避免內(nèi)部網(wǎng)絡(luò)被攻擊。

網(wǎng)絡(luò)操作的審計(jì)監(jiān)控功能

通過(guò)此功能可以有效對(duì)系統(tǒng)管理的所有操作以及安全信息進(jìn)行記錄，提供有關(guān)網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，方便計(jì)算機(jī)網(wǎng)絡(luò)管理以進(jìn)行信息追蹤。

強(qiáng)化網(wǎng)絡(luò)安全服務(wù)

防火墻技術(shù)管理可以實(shí)現(xiàn)集中化的安全管理，將安全系統(tǒng)裝配在防火墻上，在信息訪問(wèn)的途徑中就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全的監(jiān)管。

防火墻的三表五鏈

三表： filter表、nat表、mangle表

第一張表：filter表格：放的是經(jīng)過(guò)內(nèi)核的ip input output forward

第二張表：nat表格：放的不是經(jīng)過(guò)內(nèi)核的服務(wù) input output postrouting prerouting

第三張表：備用表格mangle： input output forward postrouting prerouting

五鏈：input、prerouting、forward、postrouting 、output

表功能及內(nèi)核模塊

五鏈：input、prerouting、forward、postrouting 、output

INPUT和OUTPUT均包括經(jīng)過(guò)內(nèi)核和不經(jīng)過(guò)內(nèi)核的信息

FORWARD是經(jīng)過(guò)內(nèi)核的路由轉(zhuǎn)發(fā)信息

POSTROUTING是不經(jīng)過(guò)內(nèi)核路由之后的信息

PREROUTING是不經(jīng)過(guò)內(nèi)核路由之前的信息

以上就是關(guān)于“l(fā)inux防火墻模塊指的是什么”這篇文章的內(nèi)容，相信大家都有了一定的了解，希望小編分享的內(nèi)容對(duì)大家有幫助，若想了解更多相關(guān)的知識(shí)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道。