Linux防火墻分類:
? 從邏輯上講囤攀,防火墻分為:主機防火墻、網(wǎng)絡(luò)防火墻裁赠。
? 主機防火墻:
針對于單個主機進行防護问窃。
? 網(wǎng)絡(luò)防火墻:
工作在網(wǎng)絡(luò)入口或邊緣,針對于網(wǎng)絡(luò)入口進行防護傻寂,服務(wù)于防火墻背后的本地局域網(wǎng)息尺。
?從物理上講,防火墻分為:硬件防火墻疾掰、軟件防火墻搂誉。
? 硬件防火墻:
在專用硬件級別實現(xiàn)部分功能的防火墻;另一個部分功能基于軟件實現(xiàn)静檬,如:Checkpoint,NetScreen炭懊。硬件防火墻性能高,同樣成本也高拂檩。
? 軟件防火墻:
是運行于通用硬件平臺之上的防火墻的應(yīng)用軟件侮腹。性能低,成本低稻励。
?從網(wǎng)絡(luò)協(xié)議上講父阻,防火墻分為:包過濾防火墻(Packet-Filter)、代理服務(wù)型防火墻(Proxy Service) 。
? 包過濾防火墻
特點:
數(shù)據(jù)包過濾(packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇加矛,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯履婉,稱為訪問控制表ACL(access control lable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址和目的地址斟览,所用的端口號和協(xié)議狀態(tài)等因素毁腿,或他們的組合來確定是否允許該數(shù)據(jù)包通過。
優(yōu)點:包過濾防火墻的優(yōu)點是它對用戶來說是透明的趣惠,處理速度快且易于維護狸棍。
缺點:非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊味悄;數(shù)據(jù)包的源 地址草戈、目的地址和IP的端口號都在數(shù)據(jù)包的頭部,可以很輕易地偽造侍瑟√破“IP地址欺騙”是黑客針對該類型防火墻比較常用的攻擊手段。
? 代理服務(wù)型防火墻(Proxy Service)
特點:
代理服務(wù)也稱鏈路級網(wǎng)關(guān)或TCP通道涨颜。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)费韭。
其特點是將所有跨躍防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。
當(dāng)代理服務(wù)器接收到用戶對某個站點的訪問請求后就會檢查請求是否符合控制規(guī)則庭瑰。如果規(guī)則允許用戶訪問該站點星持,代理服務(wù)器就會替用戶去那個站點取回所需的信息,再轉(zhuǎn)發(fā)給用戶弹灭。
內(nèi)外網(wǎng)用戶的訪問都是通過代理服務(wù)器上的“鏈接”來實現(xiàn)的督暂,從而起到隔離防火墻內(nèi)外計算機系統(tǒng)的作用。
此外穷吮,代理服務(wù)也對過往的數(shù)據(jù)包進行分析和注冊登記逻翁,并形成報告,同時當(dāng)發(fā)現(xiàn)有被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警告捡鱼,并保留攻擊記錄八回,為證據(jù)收集和網(wǎng)絡(luò)維護提供幫助。
優(yōu)點:在應(yīng)用層對數(shù)據(jù)進行檢查驾诈,比較安全缠诅。
缺點:增加防火墻的負(fù)載
現(xiàn)實生產(chǎn)環(huán)境中所使用的防火墻一般都是二者結(jié)合體,即先檢查網(wǎng)絡(luò)數(shù)據(jù)乍迄,通過之后再送到應(yīng)用層去檢查滴铅。
說道包過濾防火墻,不得不提Linux內(nèi)核中的Netfilter安全模塊就乓。
Netfilter是Linux操作系統(tǒng)內(nèi)核中一個數(shù)據(jù)包處理模塊,它具有如下功能:
? 網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translate)
? 數(shù)據(jù)包內(nèi)容修改
? 數(shù)據(jù)包過濾
而包過濾防火墻就是通過Netfilter實現(xiàn)的。
從Linux內(nèi)核2.4之后生蚁,Linux系統(tǒng)提供了包過慮管理工具--iptables噩翠。
下章將開始詳細(xì)敘述iptables與netfilter的關(guān)系。
