下载文档原格式
防火墙的分类与优缺点知识网络安全成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。
随着科技的发展,防火墙也逐渐被大众所接受。
但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。
欢迎大家阅读一、防火墙的基本分类1.包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。
这称为包过滤防火墙。
本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。
例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。
防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。
包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。
然后,将这些信息与设立的规则相比较。
如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。
如果允许传入Web连接,而目的端口为80,则包就会被放行。
多个复杂规则的组合也是可行的。
如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。
最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。
通常,为了安全起见,与传入规则不匹配的包就被丢弃了。
如果有理由让该包通过,就要建立规则来处理它。
建立包过滤防火墙规则的例子如下:对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。
这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。
而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
在公共网络,只允许目的地址为80端口的包通过。
这条规则只允许传入的连接为Web连接。
电脑防火墙基础知识所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.下面就让小编带你去看看电脑防火墙基础知识,希望能帮助到大家!电脑小知识:计算机防火墙到底是什么?能不能阻止黑客的入侵?在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
作用防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
从类型上来说我们主要是分为两种网络层防火墙网络层防火墙[3]可视为一种IP 封包过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的TCP/IP 协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是FTP)。
也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。
防火墙基础知识大全科普所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,下面就让小编带你去看看防火墙基础知识大全科普,希望对你有所帮助吧防火墙有哪些分类?不同防火墙有什么特点?正规的数据中心中,防火墙是必不可少的,要了解防火墙我们先要知道什么是防火墙,以及它的工作原理。
什么是防火墙?防火墙是监视网络流量的安全设备。
它通过根据一组既定规则过滤传入和传出的流量来保护内部网络。
设置防火墙是在系统和恶意攻击之间添加安全层的最简单方法。
防火墙如何工作?防火墙放置在系统的硬件或软件级别,以保护其免受恶意流量的攻击。
根据设置,它可以保护单台计算机或整个计算机网络。
设备根据预定义规则检查传入和传出流量。
通过从发送方请求数据并将其传输到接收方来进行Internet上的通信。
由于无法整体发送数据,因此将其分解为组成初始传输实体的可管理数据包。
防火墙的作用是检查往返主机的数据包。
不同类型的防火墙具有不同的功能,我们专注于服务器租用/托管14年,接下来网盾小编来谈谈防火墙有哪些分类以及他们有哪些特点。
软件防火墙软件防火墙是寄生于操作平台上的,软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。
由于它连接到特定设备,因此必须利用其资源来工作。
所以,它不可避免地要耗尽系统的某些RAM和CPU。
并且如果有多个设备,则需要在每个设备上安装软件。
由于它需要与主机兼容,因此需要对每个主机进行单独的配置。
主要缺点是需要花费大量时间和知识在每个设备管理和管理防火墙。
另一方面,软件防火墙的优势在于,它们可以在过滤传入和传出流量的同时区分程序。
因此,他们可以拒绝访问一个程序,同时允许访问另一个程序。
硬件防火墙顾名思义,硬件防火墙是安全设备,代表放置在内部和外部网络(Internet)之间的单独硬件。
此类型也称为设备防火墙。
与软件防火墙不同,硬件防火墙具有其资源,并且不会占用主机设备的任何CPU或RAM。
防火墙知识导语:以下是店铺OMG小编为大家整理的劳动法规的知识,希望你喜欢阅读:1.什么是防火墙?防火墙是一个或一组系统,它在网络之间执行访问控制策略。
实防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。
一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。
了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。
如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.为何需要防火墙?同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。
一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。
一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍可以完成工作。
许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。
在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。
如果你的公司是一家大企业,连接到Int-ernet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。
防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。
最后,防火墙可以发挥你的企业驻Internet“大使”的作用。
许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。
这些系统当中的几种系统已经成为Internet服务结构(如、、)的重要组成部分,并且给这些机构的赞助者带来了良好的影响。
3.防火墙可以防范什么?一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。
关于防火墙知识点总结一、防火墙的工作原理防火墙的目标是保护内部网络免受来自外部网络的威胁,同时允许合法的流量流入和离开网络。
它通过成为网络流量的监视者和过滤者来实现这一目的。
当一台主机发送一个数据包时,防火墙会检查数据包的源地址、目的地址、端口、协议类型等信息,并根据预设的规则来决定是否允许数据包通过。
防火墙通常使用两种基本的过滤策略:包过滤和状态检测。
包过滤是根据数据包的目的地址、源地址、端口和协议类型等信息对数据包进行过滤。
状态检测则是通过监视网络连接的状态来判断是否允许数据包通过。
这两种过滤策略可以根据网络的需求和安全级别来选择使用,以确保网络的安全性。
二、防火墙的类型根据工作原理和应用场景的不同,防火墙可以分为软件防火墙和硬件防火墙。
软件防火墙通常是安装在服务器操作系统上的防火墙软件,可以通过设置规则来对网络流量进行过滤。
硬件防火墙是一种独立的网络安全设备,通常集成了包过滤、状态检测、入侵检测等功能,可以独立工作并保护整个网络。
另外,根据其部署方式,防火墙又可以分为边界防火墙、主机防火墙和内部防火墙。
边界防火墙通常部署在网络的边界处,用于保护整个网络免受外部网络的威胁。
主机防火墙是部署在单个主机上的防火墙软件,用于保护特定的主机或者服务器。
内部防火墙用于网络内部不同安全级别的区域之间的流量过滤,避免高危区域对低危区域的威胁。
三、防火墙的应用场景防火墙在网络安全中起着至关重要的作用,在各种网络环境中被广泛应用。
以下是一些常见的防火墙应用场景:1. 企业网络安全:企业网络中通常会配置边界防火墙来保护整个内部网络免受来自外部网络的威胁。
此外,还可以使用主机防火墙来保护各个服务器或者终端设备的安全。
2. 云计算环境:随着云计算的发展,各种云平台都提供了防火墙服务,用于保护云上资源的安全。
用户可以根据自己的需求设置防火墙规则,保证云上应用的安全。
3. 无线网络安全:在无线网络中,防火墙可以对无线信号进行过滤,阻止非法的设备接入网络,并保护网络不受来自无线网络的攻击。
网络安全防火墙知识点总结一、概述网络安全防火墙是网络安全的重要组成部分,它起到了阻止未经授权的访问和保护网络免受恶意攻击的作用。
通过对网络数据流量进行过滤和监控,防火墙可防止恶意攻击者进入网络,并保护敏感信息免受攻击。
随着网络的不断发展和应用范围的不断扩大,网络安全防火墙的重要性日益凸显。
本文将介绍网络安全防火墙的各种知识点,包括工作原理、分类、应用场景、选择方法等,以便读者更好地理解和应用网络安全防火墙。
二、工作原理网络安全防火墙是一种网络安全设备,其工作原理是通过过滤、阻止和监控网络数据流量,为网络提供安全保护。
当网络数据流经防火墙时,防火墙会对数据包进行分析,根据预先配置的安全策略对数据包进行处理,从而实现对网络数据流量的控制和管理。
具体来说,网络安全防火墙主要通过以下几种方式来实现对网络数据流量的过滤和监控:1. 状态检测:防火墙可以通过检测数据包的状态(如连接状态、会话状态等)来确定是否允许通过。
2. 地址转换:防火墙可以对数据包的源地址或目的地址进行转换,从而隐藏内部网络的真实地址。
3. 端口过滤:防火墙可以根据端口号对数据包进行过滤,对特定端口的数据包进行拦截或放行。
4. 内容过滤:防火墙可以通过检测数据包中的内容(如协议、关键词等)来进行过滤,对不合规的内容进行拦截或放行。
5. 应用层过滤:防火墙可以对数据包进行深度分析,对特定应用层协议(如HTTP、FTP、SMTP等)进行过滤和检测。
通过上述方式,网络安全防火墙可以实现对网络数据流量的精细化控制和管控,从而保护网络安全。
三、分类根据不同的分类标准,网络安全防火墙可以分为多种类型。
常见的分类方式包括按工作层次、按功能特点、按部署位置等。
1. 按工作层次分类根据工作层次的不同,网络安全防火墙可以分为以下几种类型:(1)包过滤型防火墙包过滤型防火墙是最早出现的一种防火墙,它主要根据协议、端口号等基本信息对数据包进行过滤。
由于其工作在网络层(第3层),因此它的性能比较高,但安全性相对较低。
防火墙的基础知识大全什么是防火墙? 防火墙是使用一段"代码墙"把你的电脑和internet 分隔开。
它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦截这个包还是将其放行。
下面就让小编带你去看看关于防火墙的基础知识大全吧,希望能帮助到大家!都0202了,这些防火墙的知识你还不懂吗?硬件防火墙的原理软件防火墙及硬件防火墙中还有的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定,直接关系到整个内部网络的安全。
因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
4种类型(1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(3)状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
Firewall:1、网络安全威逼分为如下几类:●非法使用●拒绝效劳●信息盗窃●数据篡改2、SecPath 防火墙支持日志格式●二进制流日志●Syslog 日志3、FW 硬件:F1000S/F1000C 有两个可用mim 扩展插槽,其它F100M 及以上-F1000E 以下支持一个mim 扩展插槽。
F1000A 缺省有两个光电复用接口,缺省用电口。
F100A 有4 个lan 口和3 个wan 口,lan0 和wan2 属于高速接口其它为低速接口。
4 个lan 口支持undo insulated 把四个路由接口变成一个交换接口。
4、SecPath 防火墙的主要业务特性:ASPFNAT网页和邮件过滤智能分析和治理手段RadiusZone 和ACL丰富的VPN路由协议等等5、安全区域:中低端FW 默认4 个安全区域,可以自定义安全区域,最多12 个Local 100Trust 85Untrust 5Dmz 50 解决效劳器放置的问题自定义安全区域的优先级不能和已存在区域优先级一样。
缺省各区域之间均可互访。
6、防火墙接口工作必需将接口参加到安全区域。
规章:除loopback 接口外〔也除像ssl-card 接口、Encrypt 加密卡接口外〕其它全部的物理接口和规律接口必需加到安全区域下。
7、ACL 四种:标准2022-2999、扩展3000-3999、接口1000-1999、MAC 4000-4999。
路由模式支持:标准、扩展、接口MAC 地址的访问掌握列表只能用于透亮或混合模式。
基于接口的ACL 只能应用在接口的outbound 方向。
8、ACL的主要作用〔中低端和高端一样〕:qos流的定义;包过滤;nat流的定义;ipsec 流的定义;策略路由等等。
9、包过滤:缺省状况下,防火墙的规章是deny,需要开启permit。
定义acl,acl 中的规章的匹配挨次是config 挨次优先。
10、包过滤和ASPF 比照缺点:●无法检测应用层的攻击如java 阻断和active 等等●不支持多通道的应用层协议【如ftp、h.323〔Q.931,H.245,RTP/RTCP〕、RTSP 等】11、FW 能够实现单向访问掌握的方法有:NAT 和ASPF。
开源防火墙:简单介绍八个可用开源防火墙:●Zentyal:Zentyal 的前身是eBox Platform,Zentyal将作为eBox的社区版品牌,而本身的eBox将作为公司的商业版服务。
Zentyal提供了网关基础管理,统一威胁管理,办公服务,统一通信服务等。
●pfSense:pfSense是一个FreeBSD下的免费开源的防火墙和路由器软件。
pfSense是源自于m0n0wall的操作系统。
它使用的技术包括Packet Filter,FreeBSD6.x(或DragonFly BSD,假如ALTQ和CARP完成了的话)的ALTQ(以出色地支持分组队列),集成的包管理系统(以为其环境扩展新的特性)。
●IPtables:前身叫IPfirewall,是Linux防火墙分配是建立从源代码,并且还带有大量的附加功能。
它易于设置和管理。
它采用的状态检测防火墙,内容过滤引擎,交通控制质量( QoS ), VPN技术,和大量的记录。
●SmoothWall:SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备,最令人不可思议的是所有这些都可以在5分钟之内配置完成! 基于Web的管理和支持SSH,DHCP。
●ClearOS:ClearOS 是一个适用于小型企业的网络和网关服务器,基于分布式环境而设计。
ClearOS 是在CentOS 基础上构建的,发行版包括通过一个直观的基于Web的功能,哪些是易于配置的综合服务广泛列表界面。
在ClearOS发现的一些工具包括防病毒,防垃圾邮件,虚拟专用网,内容过滤,带宽管理,SSL的认证,网络日志分析器●IPCop Firewall:是一个Linux下的防火墙套件,主要面向家庭和SOHO(SmallOffice/Home Office)用户。
它界面非常友好,并且是基于任务的,它位于用户工作区域和Internet连接之间,通过一些TCP/IP业务规则对各种信息进行监控和管理●m0n0wall:M0n0wall对硬件要求很低,486芯片、32M内存(一般建议64M),8M硬盘(是个能用的硬盘就可以)加上网卡(两块,支持DMZ的话三块)即可正常工作并有相当不错的数据承受能力。
该系统不使用外存交换机制,所以硬盘等外部存储器仅在系统引导时使用,加载完成后就不再需要外存,所以还可以使用FLASH电子盘(包括CF 卡转接)来充当系统介质●Devil Linux:Devil-Linux是一份特别的Linux发行,它用于防火墙和路由器场合。
Devil-Linux的目标是拥有一份小巧、可定制的而且安全的 Linux。
对于以上可用的可开发的开源防火墙,在实验中我们选择适合自己的一款防火墙来完成自己实验中的功能,因为搭档IPtables有点熟悉,比较容易上手,所以先着手了解IPtables的实现体制:首先具体介绍IPtables的发展以及工作原理:⏹防火墙,坦白了说就是用于实现Linux下访问控制的功能,分为硬件防火墙和软件防火墙,并工作在网络边缘的不可或缺的一部分。
对于如何实现对访问的控制,这就关系到防火墙策略的问题,一般分为两种,一种叫做“通”策略,一种叫做“堵”策略。
前者说的是,默认门是关着的,必须要定义谁能进。
而后者是大门是开着的,必须有身份才能进。
所以防火墙的访问控制的实现就是定制规则的过程,即定制访问规则,限制访问。
这个规则很重要,必须保证要让该进的进去,该出的出去,不该进的不让进,不该出的不让出。
总而言之就是过滤不安全部分。
⏹根据规则的设定位置,可以把防火墙分在各个层面,其中在第三层网络层设防的叫网络层防火墙,在这一层对源地址和目标地址进行检测。
层次越高的防火墙,检查的东西也会越多,所以效率也就会更低,比如七层的防火墙,对源端口或者目的端口,源地址或者目的地址等所有的东西都要进行检测。
⏹要注意这些软件都是工作在用户空间,是定义规则的工具,本身并不算防火墙,它们定义的规则,可以让在内核空间当中的netfilter来读取,实现防火墙的工作。
而放这些规则的地方必须要是特定位置,必须是TCP/IP协议经过的地方。
而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做网络过滤器,可以选择的位置跟各自所带的规则链有:1.内核空间中:从一个网络接口进来,到另一个网络接口去的(PREROUTING)2.数据包从内核流入用户空间的(INPUT)3.数据包从用户空间流出的(FORWARD)4.进入/离开本机的外网接口(OUTPUT)5.进入/离开本机的内网接口(POSTROUTING)⏹当定制策略时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。
为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。
主要功能有三个:filter:定义允许或者不允许的、nat:定义地址转换的、mangle功能:修改报文原数据⏹IPtables定义规则的写法:iptables定义规则的方式比较复杂:格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table :3个filter nat mangleCOMMAND:定义如何对规则进行管理chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的CRETIRIA:指定匹配标准-j ACTION :指定如何进行处理比如:不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP当然你如果想拒绝的更彻底:iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport53 -j REJECTiptables -L -n -v #查看定义规则的详细信息⏹COMMAND详解:1.链管理命令(这都是立即生效的)-P :设置默认策略的(设定默认门是关着的还是开着的)默认策略一般只有两种iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的比如:iptables -P INPUT DROP 这就把默认规则给拒绝了。
并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)iptables -t nat -F PREROUTINGiptables -t nat -F 清空nat表的所有链-N:NEW 支持用户新建一个链iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了 -E:用来Rename chain主要是用来给用户自定义的链重命名-E oldname newname-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)iptables -Z :清空2.规则管理命令-A:追加,在当前链的最后新增一个规则-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条-R num:Replays替换/修改第几条规则格式:iptables -R 3 …………-D num:删除,明确指定删除第几条规则3.查看管理命令“-L”附加子命令-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息-vv-vvv :越多越详细-x:在计数器上显示精确值,不做单位换算--line-numbers : 显示规则的行号-t nat:显示所有的关卡的信息匹配标准:1.通用匹配:源地址目标地址的匹配-s:指定作为源地址匹配,这里不能指定主机名称,必须是IPIP | IP/MASK | 0.0.0.0/0.0.0.0而且地址可以取反,加一个“!”表示除了哪个IP之外-d:表示匹配目标地址-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)-i eth0:从这块网卡流入的数据流入一般用在INPUT和PREROUTING上-o eth0:从这块网卡流出的数据流出一般在OUTPUT和POSTROUTING上2.扩展匹配隐含扩展:对协议的扩展-p tcp :TCP协议的扩展。
一般有三种扩展--dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口, --dport 21 或者 --dport 21-23 (此时表示21,22,23)--sport:指定源端口--tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)对于它,一般要跟两个参数:1.检查的标志位2.必须为1的标志位--tcpflags syn,ack,fin,rst syn = --syn表示检查这4个位,这4个位中syn必须为1,其他的必须为0。
所以这个意思就是用于检测三次握手的第一次包的。
对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做--syn-p udp:UDP协议的扩展--dport--sport-p icmp:icmp数据报文的扩展--icmp-type:echo-request(请求回显),一般用8 来表示所以 --icmp-type 8 匹配请求回显数据包echo-reply (响应的数据包)一般用0来表示显式扩展(-m)扩展各种模块-m multiport:表示启用多端口扩展之后我们就可以启用比如 --dports 21,23,80常用处理动作:DROP:悄悄丢弃一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表REJECT:明示拒绝ACCEPT:接受custom_chain:转向一个自定义的链DNATSNATMASQUERADE:源地址伪装REDIRECT:重定向:主要用于实现端口重定向MARK:打防火墙标记的RETURN:返回在自定义链执行完毕后使用返回,来返回原规则链。
状态检测:对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接,而从第二次握手以后的,ack都为1,这是正常的数据传输,和tcp的第二次第三次握手,叫做已建立的连接(ESTABLISHED),还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。
