Linux防火墙分类:
➢ 从逻辑上讲,防火墙分为:主机防火墙、网络防火墙。
✯ 主机防火墙:
针对于单个主机进行防护。
✯ 网络防火墙:
工作在网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。
➢从物理上讲,防火墙分为:硬件防火墙、软件防火墙。
✯ 硬件防火墙:
在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:Checkpoint,NetScreen。硬件防火墙性能高,同样成本也高。
✯ 软件防火墙:
是运行于通用硬件平台之上的防火墙的应用软件。性能低,成本低。
➢从网络协议上讲,防火墙分为:包过滤防火墙(Packet-Filter)、代理服务型防火墙(Proxy Service) 。
✯ 包过滤防火墙
特点:
数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表ACL(access control lable)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。
优点:包过滤防火墙的优点是它对用户来说是透明的,处理速度快且易于维护。
缺点:非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;数据包的源 地址、目的地址和IP的端口号都在数据包的头部,可以很轻易地伪造。“IP地址欺骗”是黑客针对该类型防火墙比较常用的攻击手段。
✯ 代理服务型防火墙(Proxy Service)
特点:
代理服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。
其特点是将所有跨跃防火墙的网络通信链路分为两段。
当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点,代理服务器就会替用户去那个站点取回所需的信息,再转发给用户。
内外网用户的访问都是通过代理服务器上的“链接”来实现的,从而起到隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析和注册登记,并形成报告,同时当发现有被攻击迹象时会向网络管理员发出警告,并保留攻击记录,为证据收集和网络维护提供帮助。
优点:在应用层对数据进行检查,比较安全。
缺点:增加防火墙的负载
现实生产环境中所使用的防火墙一般都是二者结合体,即先检查网络数据,通过之后再送到应用层去检查。
说道包过滤防火墙,不得不提Linux内核中的Netfilter安全模块。
Netfilter是Linux操作系统内核中一个数据包处理模块,它具有如下功能:
➢ 网络地址转换(Network Address Translate)
➢ 数据包内容修改
➢ 数据包过滤
而包过滤防火墙就是通过Netfilter实现的。
从Linux内核2.4之后,Linux系统提供了包过虑管理工具--iptables。
下章将开始详细叙述iptables与netfilter的关系。
网友评论