linux的防火墙有什么作用

linux防火墙作用一：

一、防火墙的基本模型

基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制，因此防火墙技术就是通过分析、控制网络以上层协议特征，实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型：即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火墙。

二、不应该过滤的包

在开始过滤某些不想要的包之前要注意以下内容：

ICMP包

ICMP

包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致不能得“Host unreachable”或“No route to host”等信息。ICMP包还用于MTU发现，某些TCP实现使用了MTU发现来决定是否进行分段。MTU发现通过发送设置了不进行分段的位的包探测，

当得到的ICMP应答表示需要分段时，再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包)，则本地主机不减少MTU大小，这将导致测试无法停止或网络性能下降。 到DNS的TCP连接

如果要拦阻出去的TCP连接，那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节，客户端将使用TCP连接，并仍使用端口53接收数据。若禁止了TCP连接，DNS大多数情况下会正常工作，但可能会有奇怪的延时故障出现。

如果内部网络的DNS查询总是指向某个固定的外部DNS服务器，可以允许本地域端口到该服务器的域端口连接。

主动式FTP的TCP连接

FTP有两种运作方式，即传统的主动式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下，FTP 服务器发送文件或应答LS命令时，主动和客户端建立TCP连接。如果这些TCP连接被过滤，则主动方式的FTP将被中断。如果使用被动方式，则过滤远地的TCP连接没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。

三、针对可能的网络攻击

防火墙的性能是否优良关键在于其配置能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特点设定完善的安全策略。以网络常见的“ping of death”攻击为例，“ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普通的

ICMP包大都不需要到分段的程度，阻挡ICMP分段只拦阻大的“ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻击。

linux防火墙作用二：

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。

2.使用Firewall的益处

保护脆弱的服务

通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

记录和统计网络利用数据以及非法使用数据

Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。

策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

3.防火墙的种类

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数 据 包 过 滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应 用 级 网 关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

linux防火墙作用三：

windows防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

具体作用如下：

1、防止来自网络上的恶意攻击

2、阻止外来程序连接计算机端口

3、对电脑进行防护，防止木马入侵或其它黑客软件、程序运行‘

4、阻止本地程序通过计算机端口，向外并发信息

你好！

方法1： 重启后生效

开启： chkconfig iptables on

关闭： chkconfig iptables off

方法2：即时生效，重启后失效

开启： service iptables start

关闭： service iptables stop

PS:对于Linux下的其它服务都可以用以上命令执行开启和关闭 *** 作。

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等 *** 作

一、Linux防火墙基础

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。

体现在对包内的 IP 地址、端口等信息的处理上

Linux 系统的防火墙基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用

防火墙区域（zone）

过滤规则集合：zone

一个zone一套过滤规则，数据包经过某个zone进出站，不同zone规则不同，fierwalld将网卡对应到不同zone，默认9个区域（CentOS系统默认区域为public），有优先级，高优先级可以到优先级，低优先级到优先级需做规则过滤

区域

public（公共）

dmz（非军事区）：内外网之间的一层网络区域，主要管理内网到外网的安全限制/访问规则

trusted（信任）

1.防火墙工具介绍

netfilter/iptables:IP信息包过滤系统，它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

1.iptables

iptables是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录，属于“用户态”(User. Space，又称为用户空间) 的防火墙管理体系。

iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

核心意义：控制不同网络之间的数据包/流量数据的访问规则/约束

2.netfilter

netfilter是内核的一部分，由一些数据包过滤表组成，不以程序文或文件的形式存在，这些表包含内核用来控制数据包过滤处理的规则集，属于“内核态”(Kernel Space，又称为内核空间)的防火墙功能体系。

2.iptables的四表五链

iptables的作用是为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理

iptables采用了表和链的分层结构，所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机。

其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链

表为处理动作（ *** 作指令）

链为具体位置

1.规则表

表的作用：容纳各种规则链

表的划分依据：防火墙规则的作用相似

1.4个规则表

raw表：确定是否对该数据包进行状态跟踪

mangle表：为数据包设置标记

nat表：修改数据包中的源、目标IP地址或端口

filter表（默认表）：确认是否放行该数据包（过滤）（核心）

2.规则链

**规则的作用：**对数据包进行过滤或处理

**链的作用：**容纳各种防火墙规则

**链的分类依据：**处理数据包的不同时机

1.5种规则链

INPUT: 处理入站数据包，匹配目标IP为本机的数据包

OUTPUT: 处理出站数据包，一般不在此链上做配置

FORWARD: 处理转发数据包，匹配流经本机的数据包

PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上

POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.默认表、链的结构示意图

在这里插入图片描述

在iptables 的四个规则表中，mangle 表 和raw表的应用相对较少

在iptables 的五个规则链中，一般用input比较多（限制进入），output用的比较少，forward一般用在代理服务器上

4.数据包过滤的匹配流程

1.规则表之间的顺序

raw ---->mangle ---->nat ---->filter

2.规则链之间的顺序

入站：PREROUTING->INPUT

来自外界的数据包到达防火墙后，首先被 PEROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应该发往何处）；如果数据包的目标地址是防火墙本机，那么内核将其传递给 INPUT 链进行处理（决定是否允许通过），通过后再交给系统上层的应用程序进行相应 *** 作

出站：OUTPUT->POSTROUTING

防火墙本机向外部地址发送数据包，首先被 OUTPUT 链处理，然后进行路由选择，再交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

转发：PREROUTING->FORWARD->POSTROUTING

来自外界的数据包到达防火墙后，首先被 PREOUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址，则内核将其传递给 FORWARD 链进行处理（允许转发、拦截或丢弃），最后交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

3.规则链内的匹配顺序

按顺序一次检查，匹配即停止（LOG策略例外）

若找不倒相匹配的规则，则按该链的默认策略处理

在这里插入图片描述

---