Iptables基本概念及应用

原创

hbxu 2011-08-12 18:10:09 ©著作权

文章标签 防火墙中国网络安全安全性数据包 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者hbxu的原创作品，请联系作者获取转载授权，否则将追究法律责任

防火墙的基本概念

防火墙是指设置在不同网络或者网络安全域之间的一系列组件的组合，通常它能够用来增加防火墙一侧内部网络的安全性。它一般是通过访问控制机制（ACL），来确定哪些内部服务可以允许外部访问和外部请求可以访问内部服务。

防火墙通常的实现机制是审查经过防火墙的每一个数据包，根据一定的规则，按照这些规则的先后顺序进行一一比较，如果满足，则按照规则规定的行为对数据包进行处理。

防火墙目前最著名的就是中国的长城国家防火墙GFW。

防火墙的基本功能：

可以保护易受攻击的服务，控制内外网之间网络系统,集中管理内网的安全性，提高网络的保密性和私有性，记录网络的使用状态，为安全规划和网络维护提供依据。

防火墙技术类型：

有很多种分法，这里重点只在于软件防火墙，基本可以分为包过滤防火墙和代理服务器（比喻squid）两种。

包过滤防火墙原理：

代理服务型防火墙原理：

在应用层实现，能提供部分与传输有关状态信息，但可以完全提供与应用相关的状态。通常使用软件如squid来搭建。

linux平台提供了一个免费的包过滤防火墙netfilter/iptables，它可以代替昂贵的商业产品，用来完全包过滤，包重定向及网络地址（NAT）等功能。

iptables 的基本概念：

规则（Rules）

是网管员预定义的条件，规则一般定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则通常需要指定源地址、目的地址、传输协议（TCP、UDP、ICMP）和服务类型（HTTP、FTP、SMTP）等。当数据包与规则相符时，iptables就根据规则所定义的方法（ACCEPT、REJECT、 DROP、JUMP)来处理这些数据包。所以配置防火墙的主要功能就是针对编写和优化这些规则，以便于在保证安全的前提下尽量提高性能。

链（chains)

是数据包传播的路径，第一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或条规则。当一个数据包到达一个链时，iptables就会从链的第一条规则进行检查，看这个数据包是否满足规则所定义的条件，如果满足，系统会根据这规则所定义的方法处理数据包，否则继续下一条规则，如果这包不符合所有规则，则根据一个预定义的默认策略来处理。

表（tables）

是提供特别的功能表。目前IPTALBES内置了4个类别表，filter、nat、mangle和raw表，分别用于实现包过滤、网络地址转换、包重构（修改）和数据跟踪处理。通常用得最多的是filter 表。