26.认识防火墙

1.防火墙定义

防火墙——是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。

它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。

在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙的功能

①过滤进出网络的数据包,封堵某些禁止的访问行为

②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。

③对网络攻击进行检测和告警。

④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。

防火墙的类型

（1）过滤型防火墙

过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

（2）应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

（3）复合型

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。 

按实现的环境划分

①软件防火墙：学校、上前台电脑的网吧

普通计算机+通用的操作系统（如：linux）

②硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如： NetScreen、FortiNet  ）

Linux防火墙历史与架构

1．Linux防火墙的历史

从1.1内核开始，Linux系统就已经具有包过滤功能了，随着Linux内核版本的不断升级，Linux下的包过滤系统经历了如下4个阶段：

在2.0内核中，包过滤的机制是ipfw，管理防火墙的命令工具是ipfwadm。

在2.2内核中，包过滤的机制是ipchain，管理防火墙的命令工具是ipchains。

在2.4之后的内核中，包过滤的机制是netfilter，防火墙的命令工具是iptables。

在3.10之后的内核中,包过滤机制是netfilter,管理防火墙的工具有firewalld、iptables等。

firewalld的官网：http://www.firewalld.org/

 

2．Linux防火墙的架构

Linux防火墙系统由以下三层架构的三个子系统组成:

①内核层的netfilter：

netfilter是集成在内核中的一部分

作用是定义、保存相应的过滤规则。

提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。

netfilter是表的容器，表是链的容器，而链又是规则的容器。

表→链→规则的分层结构来组织规则

②中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的netfilter来读取,从而调整防火墙规则。

③用户层工具:是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。