硬件防火墙

    是由厂商设计好的主机硬件, 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主,并将其他不必要的功能拿掉。因为单纯作为防火墙功能而已, 因此封包过滤的效率较佳

软件防火墙

    保护系统网络安全的一套软件(或称为机制),例如 Netfilter 与 TCP Wrappers 都可以称为软件防火墙。


linux上防火墙依据防火墙管理的范围划分

    单一主机型的管控

        封包过滤型的 Netfilter 

        依据服务软件程序作为分析的 TCP Wrappers

    网域型管控

        由于此类防火墙都是当作路由器角色

        因此防火墙类型主要则有封包过滤的 Netfilter 与利用代理服务器 (proxy server) 进行存取代理的方式了。

  

  • Netfilter (封包过滤机制)

    将进入主机的网络封包的表头数据捉出来进行分析,以决定该联机为放行或抵挡的机制。所以包括硬件地址(MAC), 软件地址 (IP), TCP, UDP, ICMP 等封包的信息都可以进行过滤分析的功能,因此用途非常的广泛。(其实主要分析的是 OSI 七层协议的 2, 3, 4 层啦)
    在 Linux 上面我们使用核心内建的 Netfilter 这个机制,而 Netfilter 提供了 iptables 这个软件来作为防火墙封包过滤的指令。


  • TCP Wrappers (程序控管)
    透过服务器程序的外挂 (tcpd) 来处置的!主要是分析谁对某程序进行存取,然后透过规则去分析该服务器程序谁能够联机、谁不能联机。 由于主要是透过分析服务器程序来控管,因此与启动的埠口无关,只与程序的名称有关。 举例来说,我们知道 FTP 可以启动在非正规的 port 21 进行监听,当你透过 Linux 内建的 TCP wrappers 限制 FTP 时, 那么你只要知道 FTP 的软件名称 (vsftpd) ,然后对他作限制,则不管 FTP 启动在哪个埠口,都会被该规则管理的。


  • Proxy (代理服务器)

通常 Proxy 就架设在路由器上 可以完整的掌控局域网络内的对外联机 

client 并没有直接连上 Internet

proxy 通常仅开放 port 80, 21, 20 等 WWW 与 FTP 的端口而已

可以使用squid软件设定

wKiom1gq6DWjazD_AABMjq6Hn6w658.png-wh_50



防火墙一般网络布线示意图

单一网域 仅一个路由器

wKioL1gq6H3gtofLAACPVLwhKq4763.png-wh_50

内部网络包含安全性更高的子网

wKioL1gq6LbBWdQoAADHnOner1Q953.png-wh_50

防火墙后面假设网络服务器主机

wKiom1gq6N_g4EcLAADhepHmrtU248.png-wh_50