1.防火墙(iptables)

1.防火墙

1.1防火墙简介

防火墙是由软件和硬件设备组合而成的一种隔离技术，它工作于网络或主机的边缘（通信报文的进出口），对于进出本网络或主机的数据包根据事先定义的检测规则进行匹配检测，允许或是限制传输的数据包通过。

1.2分类

从防火墙技术分为 “包过滤型”和“应用代理型”两大类。

（1）包过滤型防火墙

工作在OSI参考模型的网络层，它根据数据包头源地址、目的地址、端口号和协议类型等标志，确定是否允许数据包通过。它的速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。

（2）代理型防火墙

主要工作在OSI的应用层，代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求。它可以允许或拒绝特定的应用程序或服务，还可以实施数据流监控、过滤、记录和报告功能。缺点是处理速度比较慢，能够处理的并发数比较少。

1.3linux系统防火墙

Linux系统的防火墙功能是由内核实现的，2.4 版及以后的内核中，包过滤机制是netfilter，管理工具是iptables。

netfilter：位于Linux内核中的包过滤防火墙功能体系，称为Linux防火墙的“内核态”。

iptables：位于/sbin/iptables，是用来管理防火墙的命令工具，称为Linux防火墙的“用户态”。定义的规则通过内核接口直接送至内核，立即生效，但不会永久有效，如果需要永久有效，需要保存至配置文件。