iptables的基础知识及概念

iptables的基础知识及概念

前言

iptables作为我们主机的一个安全服务在生产环境是必不可少的角色,我们有必要深入了解并学习它.iptables学习起来不是特别容易,主要问题在于知识点比较杂,概念性比较多.这篇博客主要介绍iptables的一些基础知识和概念,让大家先简单了解一下iptables.

防火墙的分类

  • 逻辑角度(抽象概念)

1.主机防火墙: 针对于单个主机进行防护

2.网络防火墙: 一般在网络架构的边缘层,通过作为网络的入口来保护整个网络,而在其后就是本地内部局域网.

  • 物理角度(真实概念)

1.硬件防火墙:比如一些cisco或者h3c网络硬件设备所提供的防火墙功能. 具有成本高,性能强的特点

2.软件防火墙:通过软件服务来实现防火墙的功能,常见的如iptables firewall .具有性能低,成本低的特点.

  • 功能角度

1.网络层防火墙:工作在3-4层,具有效率高,但是安全性不如七层

2.应用层防火墙:工作在七层,实际类似代理层的网关,安全性高,但是性能会有所降低.

备注

第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙,不管你源端口或者目标端口,源地址或者目标地址是什么,都将对你所有的东西进行检查。所以,对于设计原理来讲,七层防火墙更加安全,但是这却带来了效率更低。所以市面上通常的防火墙方案,都是两者结合的。而又由于我们都需要从防火墙所控制的这个口来访问,所以防火墙的工作效率就成了用户能够访问数据多少的一个最重要的控制,配置的不好甚至有可能成为流量的瓶颈。

iptables介绍

  • 核心-netfilter

iptables本身不是防火墙的核心,也可以说真正实现防火墙的功能并不是iptables,他就像是一个配置工具(客户端代理),而真正实现流量,网络,端口等一系列控制功能的核心是我们处于内核的netfilter.它实际上是一个安全框架(framework),工作在内核空间.

iptables属于网络层防火墙。由于工作在网络层,不需要把数据发送到用户空间,在系统内核空间中进行了数据过滤处理,因此可以保证数据处理效率。与此同时也会带来一个坏处,既然是工作于内核空间,那么它要么集成到内核内部要么被内核调用,且用户是无法直接与内核交互,那我们怎么定义iptables规则。因为以上原因iptables分为两部分,一部分是工作于内核中真正实现访问管控功能的netfileter,与此同时还要有与内核通信提供过滤规则的用户空间组件iptables

  • iptables功能

流量控制

ip/端口访问控制

端口/ip转发

  • iptables发展历史

iptables也是逐渐从0到有慢慢过渡发展的,本身是基于内核来实现的,所以和内核关联性很大.

 

 

 

 

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Loading...