iptables的基礎(chǔ)知識(shí)-防火墻的介紹
iptables的基礎(chǔ)知識(shí)——防火墻的介紹:
iptables防火墻的任務(wù):
防火墻在企業(yè)網(wǎng)絡(luò)安全的保護(hù)過程中角色至關(guān)重要。linux自1.1版本開始就開始集成了網(wǎng)絡(luò)防火墻機(jī)制,當(dāng)時(shí)叫做Ipfwadm,后來(lái)得到不斷地完善到2.2版本時(shí)更名為ipchains,發(fā)展到2.4以上版本時(shí)有更名為Iptables,也就一直延續(xù)至今。當(dāng)然,我們現(xiàn)在用的是2.6版本,其Iptables較2.4時(shí)更是得到了全面改進(jìn)。
我認(rèn)為,使用linux作為網(wǎng)絡(luò)管理,iptables是必學(xué)知識(shí),而且是重要的基礎(chǔ)知識(shí)。所以作為我們每個(gè)IT管理人來(lái)說(shuō)有必要將其掌握牢固。也正是此原因網(wǎng)人linux社區(qū)將此知識(shí)列為重要內(nèi)容板塊進(jìn)行展示。希望對(duì)大家的學(xué)習(xí)能起到幫助(其實(shí)郭工認(rèn)為這部分知識(shí)很容易掌握)
iptables是按照“策略(或叫做規(guī)則)”來(lái)進(jìn)行篩選工作的。所以我們學(xué)習(xí)防火墻基本上就是學(xué)習(xí)如何下達(dá)不同的規(guī)則命令。
使用iptables防火墻的目的:
1 創(chuàng)建規(guī)則來(lái)審核來(lái)往的數(shù)據(jù)包
不管來(lái)往的數(shù)據(jù)是服務(wù)器發(fā)給別人的還是別人發(fā)給服務(wù)器的,或者是數(shù)據(jù)通過服務(wù)器發(fā)給另外一臺(tái)電腦。只要數(shù)據(jù)經(jīng)過服務(wù)器的網(wǎng)卡,Iptables就會(huì)看一看數(shù)據(jù),審查一下這個(gè)數(shù)據(jù)包符合我們哪條規(guī)則,來(lái)斷定該如何處理這個(gè)數(shù)據(jù)(是允許通過呢?還是阻止通過呢?還是刪除呢?還是交給其他服務(wù)器處理呢?)
所以iptables的角色就是我們的門衛(wèi)保安。假如你的邏輯夠使,你可以多設(shè)置規(guī)則進(jìn)行詳細(xì)篩選。就像給你的豪宅多設(shè)立幾個(gè)檢查站以免遺漏,讓不法分子進(jìn)來(lái)。
2 記錄internet活動(dòng)
規(guī)則除了能夠篩選來(lái)往的數(shù)據(jù),同樣也可以要求記錄下來(lái)往的數(shù)據(jù)。并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù),管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志是適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。
3 限制網(wǎng)絡(luò)暴露
iptables防火墻在你的網(wǎng)絡(luò)外緣(網(wǎng)關(guān)處)創(chuàng)建了保護(hù)機(jī)制。并且保護(hù)了內(nèi)網(wǎng)的一些信息不被外網(wǎng)輕易獲得,以增加保密性。我們可以理解為防止外部非法進(jìn)如我們的內(nèi)網(wǎng),以及防止大量數(shù)據(jù)來(lái)襲,造成網(wǎng)絡(luò)堵塞。
4 用作網(wǎng)絡(luò)工作分配
假如我們想建立網(wǎng)站服務(wù)器、郵件服務(wù)器,當(dāng)然不能直接暴漏在internet上面,那樣的裸奔很容易被蒼蠅蚊子蜜蜂蟄到。我們把這些服務(wù)放在防火墻后面,然后通過防火墻進(jìn)行數(shù)據(jù)的過濾轉(zhuǎn)接。比如防火墻在收到web連接請(qǐng)求的時(shí)候,將這個(gè)請(qǐng)求轉(zhuǎn)發(fā)給web網(wǎng)站服務(wù)器。當(dāng)一個(gè)對(duì)web請(qǐng)求非常過分(突然間的同一遠(yuǎn)程IP發(fā)來(lái)很多連接)我們也可以通過防火墻將其阻攔下來(lái)。
以上就是iptables的基礎(chǔ)知識(shí)-iptables防火墻的介紹,下一篇文章講述iptables的狀態(tài)。
【編輯推薦】
