《零基础Linux 从入门到精通》_从零开始_轻松掌握Linux操作系统_21.1 防火墙介绍

【摘要】 本书摘自《零基础Linux 从入门到精通》一书中第21章，第1节，编者是零壹快学

第 21 章

防火墙

21.1 防火墙介绍

在Linux系统中，我们会存放很多数据，有一些隐私性很高的数据需要我们严格进行保护。防 火墙则是保护系统的一道屏障，它将一些可能存在恶意的流量拒之门外。归根结底，防火墙就是 通过数据包的特性，根据提前制定好的规则，监控所有访问我们网络的流量。防火墙对外部流量 的监控，其根本就是将不同的网络进行隔离，构建出网络的不同区域。比如来自互联网的流量都 是不可信流量，而内部网络的流量则是高可信流量。如果没有防火墙，两者混杂在一起，相当于

处于同样的网络环境中，而通过防火墙，则划分出了内网和外网。

防火墙根据形态的不同分为硬件防火墙和软件防火墙。硬件防火墙是专门用于数据包过滤的 硬件设备，因此其性能也更佳，企业在网络层部署的防火墙主要就是硬件防火墙。软件防火墙为

保护系统本身的一套软件，本章主要介绍的根据数据包过滤的Netfilter就属于此类。

021.2 Netfilter

Netfilter是Linux内核的防火墙框架，用于管理网络数据包，整个框架简洁又灵活，可实现安全 策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换 （NAT），以及基于MAC地址的过滤和基于状态的过滤、包速率限制等。因此Netfilter的数据包过 滤机制主要作用于OSI七层模型中的数据链路层、网络层和传输层上。所以，Netfilter主要可以实现

如下几种功能：

◇ 根据数据包访问的端口，对数据包进行拦截。例如不希望22端口对外开放，则可以通过防

第 21 章 防火墙

火墙将所有来自互联网的访问22端口的流量全部拦截。

◇ 根据数据包的源IP，封禁来自互联网的IP流量。例如我们发现某个IP持续对主机发起攻 击，可以把这个IP的流量通过防火墙全部过滤。

◇ 根据MAC地址决定数据包是否可以通过。攻击者的IP地址可以进行更换， 但是MAC地址是 由网卡决定的， 除非更换网卡，否则不会改变。因此如果数据包中包含攻击者MAC地址， 则可以直接封禁MAC地址，这样换IP也没有用了。

◇ 修改数据包的内容，可以修改数据包的源IP和目的IP等信息。

当然， 一个主机的安全不能完全依托于防火墙，还需要我们注意系统运行的服务状态，如服

务本身是否升级到最新版本、是否关闭不必要的服务等。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们 18664393530@aliyun.com 处理，核实后本网站将在24小时内删除侵权内容。