前言

一、概述

（一）、防火墙分类

（二）、防火墙性能

（三）、iptables

（四）、iptables中表的概念

二、iptables规则匹配条件分类

（一）、基本匹配条件

（二）、显式匹配使用选项及功能

（三）、iptables规则

三、iptables应用

（一）、进行标记，可在LVS调度器中应用

（二）、iptables nat表应用案例

四、什么是防火墙

五、FireWalld防火墙的配置

（一）、Firewalld默认共9个zone

（二）、端口和服务名称的对应关系

总结

前言

防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面。

一、概述

在计算机领域，防火墙是用于保护信息安全的设备，其会依照用户定义的规则，允许或限制数据的传输。

作用

用于保护内网安全的一种设备

依据规则进行防护

用户定义规则

允许或拒绝外部用户访问

（一）、防火墙分类

逻辑上划分	防火墙可以大体分为主机防火墙和网络防火墙
主机防火墙	针对于单个主机进行防护
网络防火墙	针对网络进行防护，处于网络边缘，防火墙背后是本地局域网网络防火墙主外(服务集体)，主机防火墙主内(服务个人)
物理上划分	防火墙可分为硬件防火墙和软件防火墙
硬件防火墙	在硬件级别实现防火墙功能，另一部分基于软件实现，其性能高，硬件成本高
软件防火墙	应用软件处理逻辑运行于通用硬件平台之上的防火墙，其性能相较于硬件防火墙低，成本较低，对于 Linux系统已自带，直接使用即可

硬件防火墙定义

硬件防火墙是指把具备配置数据包通过规则的软件嵌入硬件设备中，为网络提供安全防护的硬件设备。多见于网络边缘。

硬件防火墙作用（拓扑图 ups）

硬件防火墙品牌：Juniper、cisco（思科ASA）、华为、天融信等

软件防火墙定义

软件防火墙是单独使用具备配置数据包通过规则的软件来实现数据包过滤。多见于单主机系统或个人计算机。

硬件防火墙与软件防火墙比较

硬件防火墙有独立的硬件设备，运算效率较高，价格略高，可为计算机网络提供安全防护。

软件防火墙必须部署在主机系统之上，相较于硬件防火墙运算效率低，在一定程度上会影响到主机系统性能，一般用于单机系统或个人计算机中，不直接用于计算机网络中。

Web应用防火墙(WAF)

Web应用防火墙是对web防护(网页保护)的安全防护设备(软件)，主要用于截获所有HTTP数据或仅仅满足某些规则的会话。多见于云平台中。

（二）、防火墙性能

吞吐量

并发连接

新建连接

时延

抖动

（三）、iptables

iptables是什么？

iptables不是防火墙，是防火墙用户代理用于把用户的安全设置添加到“安全框架”中 “安全框架”是防火墙，“安全框架”的名称为netﬁlter。

netﬁlter位于内核空间中，是Linux操作系统核心层内部的一个数据包处理模块iptables是用于在用户空间对内核空间的netﬁlter进行操作的命令行工具。

平常我们使用iptables并不是防火墙的“服务”，而服务是由内核提供的。

iptables工作依据 规则(rules)

iptables是按照规则(rules)来办事的，而规则就是运维人员所定义的条件；规则一般定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。

规则存储在内核空间的数据包过滤表中，这些规则分别指定了源地址、目的地址，传输协议(TCP、UDP、ICMP)和服务类型(HTTP、FTP)等。

当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，比如放行(ACCEPT)、拒绝(REJECT)、丢弃(DROP)等。

配置防火墙主要工作就是对iptables规则进行添加、修改、删除等。

iptables规则管理

iptables规则显示

netﬁlter/iptables功能

netﬁlter/iptables可简称为iptables，为Linux平台下的包过滤防火墙，是开源的，内核自带的，可以代替成本较高的企业级硬件防火墙，能够实现如下功能：

数据包过滤，即防火墙；

数据包重定向，即转发；

网络地址转换，即可NAT。

iptables中链的概念

当客户端访问服务器端的web服务时，客户端发送访问请求报文至网卡，而tcp/ip协议栈是属于内核的一部分，所以，客户端的请求报文会通过内核的TCP协议传输到用户空间的web服务，而客户端报文的目标地址为web服务器所监听的套接字(ip:port)上，当web服务器响应客户端请求时，web服务所回应的响应报文的目标地址为客户端地址，我们说过，netﬁlter才是真正的防火墙，属于内核的一部分，所以，我们要想让netﬁlter起到作用，我们就需要在内核中设置“关口”，所以进出的数据报文都要通过这些关口，经检查，符合放行条件的准允放行，符合阻拦条件的则被阻止，于是就出现了input和output关口，然而在iptables中我们把关口叫做“链”。

如果客户端发到本机的报文中包含的服务器地址并不是本机，而是其他服务器，此时本机就应该能够进行转发，那么这个转发就是本机内核所支持的IP_FORWARD功能，此时我们的主机类似于路由器功能，所以我们会看到在iptables中，所谓的关口并只有上面所提到的input及output这两个，应该还有“路由前”，“转发”，“路由后”，它们所对应的英文名称分别为“PREROUTING”，“FORWARD”，“POSTROUTING”，这就是我们说到的5链。

当我们在本地启动了防火墙功能时，数据报文需要经过以上关口，根据各报文情况，各报名经常的“链”可能不同，如果报文目标地址是本机，则会经常input链发往本机用户空间，如果报文目标不是本机，则会直接在内核空间中经常forward链和postrouting链转发出去。

有的时候我们也经常听到人们在称呼input为“规则链”，这又是怎么回事呢？我们知道，防火墙的作用在于对经过的数据报文进行规则匹配，然后执行对应的“动作”，所以数据包经过这些关口时，必须匹配这个关口规则，但是关口规则可能不止一条，可能会有很多，当我们把众多规则放在一个关口上时，所有的数据包经常都要进行匹配，那么就形成了一个要匹配的规则链条，因此我们也把“链”称作“规则链”。

INPUT:处理入站数据包

OUTPUT:处理出站数据包

FORWARD:处理转发数据包(主要是将数据包转发至本机其它网卡)

当数据报文经过本机时，网卡接收数据报文至缓冲区，内核读取报文ip首部，发现报文不是送到本机时（目的ip 不是本机），由内核直接送到forward链做匹配，匹配之后若符合forward的规则，再经由postrouting送往下一跳或目的主机。

PREROUTING:在进行路由选择前处理数据包，修改到达防火墙数据包的目的IP地址，用于判断目标主机。

POSTROUTING:在进行路由选择后处理数据包，修改要离开防火墙数据包的源IP地址，判断经由哪一接口送往下一跳。

iptables链管理方法（了解）

（四）、iptables中表的概念

每个“规则链”上都设置了一串规则，这样的话，我们就可以把不同的“规则链”组合成能够完成某一特定功能集合分类，而这个集合分类我们就称为表，iptables中共有5张表。security:是后加上的，定义强制访问控制规则；通常为4表。

ﬁlter: 过滤功能，确定是否放行该数据包，属于真正防火墙，内核模块：iptables_ﬁlter。

nat: 网络地址转换功能，修改数据包中的源、目标IP地址或端口；内核模块：iptable_nat。

mangle: 对数据包进行重新封装功能，为数据包设置标记；内核模块：iptable_mangle。

raw: 确定是否对数据包进行跟踪；内核模块：iptables_raw。

iptables中表链之间的关系

iptables中表的优先级：raw-mangle-nat-ﬁlter(由高至低)

二、iptables规则匹配条件分类

（一）、基本匹配条件

-p（protocal）	指定规则协议，tcp（传输层） udp（传输层） icmp（网络层） ip（网络层）
-s（source）	指定数据包的源地址
-d（destination）	指定目的地址
-i	输入网卡接口（lo本地回环，ens33）
-o	输出网卡接口（ens37，ens33等）
!	取反

基本匹配的特点是：无需加载扩展模块，匹配规则生效。

拒绝icmp的访问（ACCEPT为允许）

iptables -A INPUT -p icmp -j REJECT

拒绝tcp的访问

iptables -A INPUT -p tcp -j REJECT

拒绝源地址的访问

iptables -A INPUT -s 192.168.238.131 -j REJECT

除了icmp协议可以通信（DROP为拒绝但反应较慢）

iptables -A INPUT ! -p icmp -i ens33 -j DROP

（二）、显式匹配使用选项及功能

禁止访问80端口，其他都可以

不允许别人Ping我，我可以Ping别人

iptables -A INPUT -p icmp --icmp-type 8/0 -j REJECT

多端口：multiport

禁止80和20端口访问，其他端口允许

iptables -I INPUT  -p tcp -m multiport --dports 80,20 -j REJECT

多IP地址：iprange

禁止192.168.238.120~192.168.238.130IP的访问

指定访问时间范围：time（注意时区）

iptables -I INPUT -p tcp --dport 80 -m time --weekdays Tus --timestart 10:00:00 --timestop 18:00:00  -j REJECT

connlimit（了解）

连接限制，根据每个客户端IP作并发连接数量限制。

limit（了解）

报文速率限制。

state

追踪本机上的请求和响应之间的数据报文的状态。

状态有五种

NEW	新连接请求
ESTABLISHED	已建立的连接
INVALID	无法识别的连接
RELATED	相关联的连接，当前连接是一个新请求
UNTRACKED	未追踪的连接

（三）、iptables规则

制定iptables规则思路

选择一张表，此表决定了数据报文处理的功能

选择一条链，此链决定了数据报文流经哪些位置

选择合适的规则，此条件决定了对数据做何种条件匹配

选择处理数据报文的动作拒绝还是允许

制定iptables规则策略

黑名单	没有被拒绝的流量都可以通过，这种策略下管理员必须针对每一种新出现的攻击，制定新的规则，因此不推荐
白名单	没有被允许的流量都要拒绝，这种策略比较保守，根据需要，主机主机逐渐开放，目前一般都采用白名单策略，推荐

iptables规则中动作

iptables规则中的动作常称为target，也分为基本动作和扩展动作。

ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给任何回应信息
REJECT	拒绝数据包通过，发送回应信息给客户端
SNAT	源地址转换
	数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的IP，接收方认为数据包的来源是被替换的那个IP主机，返回响应时，也以被替换的IP地址进行
	修改数据包源地址，当内网数据包到达防火墙后，防火墙会使用外部地址替换掉数据包的源IP地址（目的IP地址不变），使网络内部主机能够与网络外部主机通信
MASQUERADE	伪装，类似于SNAT，适用于动态的、临时会变的ip地址上，例如：家庭使用的宽带。用发送数据的网卡上的IP来替换源IP，对于IP地址不固定场合使用
DNAT	目标地址转换
	数据包从网卡发出时，修改数据包中的目的IP，表现为你想访问A，但因网关做了DNAT，把所有访问A的数据包中的目的IP地址全部修改为B,实际最终访问的是B
	改变数据包目的地址，当防火墙收到来自外网的数据包后，会将该数据包的目的IP地址进行替换（源IP地址不变），重新转发到内网的主机
REDIRECT	在本机做端口映射
LOG	在/var/log/message文件中记录日志信息，然后将数据包传递给下一条规则

SNAT

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j SNAT --to-source 202.12.10.100

DNAT

iptables -t nat -A PREROUTING -d 202.12.10.100 -p tcp --dport 80 -j DNAT --to- destination 192.168.10.254

路由是按照目的地址进行路由选择的，因此，DNAT是在PREROUTING链上进行的，SNAT是在数据包发出的时候进行的，因此是在POSTROUTING链上进行的。

iptables基础语法结构

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

不指定表名时，默认表示ﬁlter表，不指定链名时，默认表示该表内所有链，除非设置规则链的默认策略，否则需要指定匹配条件。

三、iptables应用

服务名：iptables-services（yum）

centos7系统中默认存在iptables命令，此命令仅为简单查询及操作命令，不包含配置文件，安装iptables- services后，将直接生成配置文件，便于配置保存。包含ipv4及ipv6。

保存规则：ptables-save > /etc/sysconfig/iptables（路径可自定义）

重载：iptables-restore < /etc/sysconfig/iptables

不允许通过本地回环网卡访问本机

iptables -I INPUT -i lo -j REJECT

本机无法访问本机

解决办法

（一）、进行标记，可在LVS调度器中应用

详细列表

iptables -t mangle -nL

进行标记

（二）、iptables nat表应用案例

nat表作用：导流

nat表作用位置

KVM或OpenStack中虚拟机或云主机与外部通信

Docker管理的容器与外部通信

开启路由转发功能

SNAT源地址转换、DNAT目标地址转换

案列

实验环境：

hd1：192.168.238.101、网关：192.168.238.100

hd2： 192.168.100.101

hd3： 192.168.100.100（ens33）、192.168.238.100（ens37）

注意：为了方便互相验证先在hd1和hd3上先装好httpd服务

步骤

snat

hd1

安装httpd服务，启动httpd服务

配置静态IP及网关

创建访问文件 echo hello > /var/www/html/index.html（可不创建，只是为了方便观察）

hd2

安装httpd服务，启动httpd服务

配置静态IP及网关

创建访问文件 echo OKOK > /var/www/html/index.html

hd3 添加网卡ens37，配置静态IP

开启防火墙的路由转发功能

vim /etc/sysctl.conf

sysctl -p 激活

配置防火墙的snat地址转换

iptables -t nat -A POSTROUTING -s 192.168.238.0/24 -o ens37 -j SNAT --to-source 192.168.100.100

到hd1上进行验证

dnat

hd3配置防火墙的dnat地址转换

iptables -t nat -A PREROUTING -d 192.168.100.100 -p tcp -j DNAT --to-destination 192.168.238.101

到hd2上进行验证

四、什么是防火墙

防火墙：防范一些网络攻击。有软件防火墙、硬件防火墙之分。

防火墙选择让正常请求通过，从而保证网络安全性。

Windows防火墙

传统Linux防火墙

FireWalld防火墙的概念

CentOS6中防火墙叫做iptables

CentOS7中默认使用的防火墙是firewalld

FireWalld增加了区域的概念，所谓区域是指，firewalld预先准备了几套防火墙策略的集合，类似于策略的模板，用户可以根据需求选择区域。

FireWalld属于动态防火墙，是CentOS7系统中用于对netﬁlter内核模块用户空间管理工具。FireWalld仅仅替代了iptables service部分，其底层还是使用iptables做为防火墙规则管理入口。

常见区域及相应策略规则

trusted	允许所有数据包
home	拒绝流入的流量，除非与流出的流量相关，允许 ssh,mdns,ippclient,amba-client,dhcpv6-client服务通过
internal	等同于home
work	拒绝流入的流量，除非与流出的流量相关，允许ssh,ipp client,dhcpv6-client服务通过
public	拒绝流入的流量，除非与流出的流量相关，允许 ssh,dhcpv6-client服务通过
external	拒绝流入的流量，除非与流出的流量相关，允许ssh服务通过
dmz	拒绝流入的流量，除非与流出的流量相关，允许ssh服务通过
block	拒绝流入的流量，除非与流出的流量相关，非法流量采取拒绝操作
drop	拒绝流入的流量，除非与流出的流量相关，非法流量采取丢弃操作

运行模式

配置的防火墙策略立即生效，但是不写入配置文件

永久模式

配置的防火墙策略写入配置文件，但是需要reload

重新加载才能生效

五、FireWalld防火墙的配置

使用systemctl来管理firewalld的服务

语法：systemctl [选项] firewalld

start	启动指定服务
status	检查指定服务的运行状况
reload	重新加载指定服务的配置文件（并非所有服务都支持 reload，通常使用restart)
restart	重启指定服务
stop	停止指定服务