简介
我们在第一篇介绍iptables的时候提到过,iptables是一个包过滤防火墙,那么防火墙是怎么分类的呢?都有哪些防火墙?下面我们先简单介绍下防火墙的分类:
按部署位置分类
- 网络层防火墙(网络边界防火墙):位于网络边界处,监控网络流量进出。
- 主机防火墙:安装在单个主机上,保护该主机免受攻击。
按过滤技术分类:
- 包过滤防火墙:基于数据包的源、目的地址、端口等信息做决策。
- 应用层代理防火墙:深度检查网络通信内容,能够识别应用层协议,并控制应用层交互。
软、硬件形式分类:
- 软件防火墙:运行于特定的计算机上,需要客户预先安装好的计算机操作系统的支持。这台计算机通常作为整个网络的网关,俗称“个人防火墙”。
- 硬件防火墙:基于PC架构,与普通家庭用的PC区别不大。它们运行经过裁剪和简化的操作系统,如老版本的Unix、Linux和FreeBSD系统。这种防火墙可能受到操作系统本身的安全性影响。
- 芯片级防火墙:基于专门的硬件平台,没有操作系统。专有的ASIC芯片使它们具有更快的速度、更强的处理能力和更高的性能。
防火墙结构分类:
- 单一主机防火墙:保护单个主机免受外部威胁。
- 路由器集成式防火墙:将防火墙功能集成到路由器中,提供网络层面的安全保护。
- 分布式防火墙:在网络中的多个位置部署防火墙,提供更全面的安全保护。
以上以一些简单的分类,在前文的举例中,iptables都是作为主机防火墙的角色出现的,那么这篇文章我们介绍iptables怎么作为网络防火墙。
网络防火墙往往处于网络的入口或者边缘,如果想要使用iptables充当网络防火墙,iptables所在的主机则需要处于网络入口处。
当外部网络中的主机与网络内部主机通讯时,不管是由外部主机发往内部主机的报文,还是由内部主机发往外部主机的报文,都需要经过iptables所在的主机,由iptables所在的主机进行”过滤并转发”,所以,防火墙主机的主要工作就是”过滤并转发”,那么再次回顾一下之前的iptables报文流程图
在我们前面文章的介绍中,iptables都是作为”主机防火墙”的角色出现的,所以我们举例时,只用到了上图中的INPUT链与OUTPUT链,因为拥有”过滤功能”的链只有3条,INPUT、OUTPUT、FORWARD,当报文发往本机时,如果想要过滤,只能在INPUT链与OUTPUT链中实现,而此时,iptables的角色发生了转变,我们想要将
