Linux操作系統Linux防火墻簡介目錄/Contents010203防火墻概述Linux網絡通信模型簡介Linux防火墻簡介01防火墻概述防火墻概述防火墻是部署在網絡邊界上的一種安全設備，其概念比較寬泛，根據需求不同可以工作在OSI（OpenSystemInterconnection，開放式系統互聯）網絡模型的一層或多層上。通常來對網絡進行隔離、保護操作系統的漏洞、阻止非法的信息流動、限制可訪問的服務和審計根據實現方式和功能的不同，防火墻可以分為三種類型：包過濾防火墻、應用網關防火墻和狀態檢測防火墻。防火墻防護不能防御已授權服務中的惡意攻擊、不能防御不通過防火墻的訪問、不能防御操作系統本身存在的缺陷。防火墻雖能提供基礎的網絡邊界防護，但仍需與入侵檢測（IDS）、Web應用防火墻（WAF）、主機防護（HIDS）等協同部署，構建多層次、立體化的安全防御體系，以彌補其防護盲區，提升整體系統安全性。防火墻概述在網絡安全體系中，不同類型的安全產品根據部署位置和功能承擔各自的防護任務。下表列舉了主要安全產品的部署位置與主要功能。安全產品部署位置主要功能防火墻（Firewall）內外網之間實現內外網隔離，限制跨網訪問和非法請求WAF（WebApplicationFirewall）Web服務前端防護Web應用，攔截如SQL注入、XSS等攻擊NIDS（網絡入侵檢測系統）內網交換節點或網關鏡像口檢測內網流量中的異常行為或攻擊跡象HIDS（主機入侵檢測系統）內網服務器主機檢測服務器內部的異常操作或惡意行為IPS（入侵防御系統）網絡或主機旁路/串聯對已識別的攻擊行為進行實時阻斷與攔截防火墻概述從邏輯上講，防火墻可以大體分為主機防火墻和網絡防火墻。主機防火墻：針對于單個主機進行防護。網絡防火墻：往往處于網絡入口或邊緣，針對于網絡入口進行防護，服務于防火墻背后的本地局域網。從物理上講，防火墻可以分為硬件防火墻和軟件防火墻。硬件防火墻：在硬件級別實現部分防火墻功能，另一部分功能基于軟件實現，性能高，成本高。軟件防火墻：應用軟件處理邏輯運行于通用硬件平臺之上的防火墻，性能低，成本低。02Linux網絡通信模型Linux網絡通信模型Linux系統的網絡通信模型，即信息是如何從程序中發出，通過網絡傳輸，再被另一個程序接收到的。Linux系統的通信過程無論是按理論上的OSI七層模型，還是以實際上的TCP/IP四層模型來解構，都明顯地呈現出“逐層調用，逐層封裝”的特點，這種逐層處理的方式與棧結構，比如程序執行時的方法棧很類似，所以它通常被稱為“Linux網絡協議棧”，簡稱“網絡棧”，有時也稱“協議棧”。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層Linux網絡通信模型Socket：應用層的程序是通過Socket編程接口，來和內核空間的網絡協議棧通信的。LinuxSocket是從BSDSocket發展而來的，現在的Socket已經不局限于作為某個操作系統的專屬功能，而是成為了各大主流操作系統共同支持的通用網絡編程接口，是網絡應用程序實際上的交互基礎。應用程序通過讀寫收、發緩沖區來與Socket進行交互，在Unix和Linux系統中，出于“一切皆是文件”的設計哲學，對Socket的操作被實現為了對文件系統（socketfs）的讀寫訪問操作，通過文件描述符（FileDescriptor）來進行。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層Linux網絡通信模型TCP/UDP：傳輸層協議族里TCP和UDP是在Linux內核中被直接支持的協議。以TCP協議為例，內核發現Socket的發送緩沖區中，有新的數據被拷貝進來后，會把數據封裝為TCPSegment報文，常見的網絡協議的報文基本上都是由報文頭（Header）和報文體（Body，也叫荷載“Payload”）兩部分組成。接著，系統內核將緩沖區中用戶要發送出去的數據作為報文體，然后把傳輸層中的必要控制信息，比如代表哪個程序發、由哪個程序收的源、目標端口號，用于保證可靠通信（重發與控制順序）的序列號、用于校驗信息是否在傳輸中出現損失的校驗和（CheckSum）等信息，封裝入報文頭中。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層Linux網絡通信模型IP：網絡層協議最主要的就是網際協議（InternetProtocol，IP），其他的還有IGMP、大量的路由協議BGP、OSPF、IGRP等等。以IP協議為例，它會把來自上一層，即TCP報文的數據包作為報文體，然后再次加入到自己的報文頭中，比如指明數據應該發到哪里的路由地址、數據包的長度、協議的版本號，等等，這樣封裝成IP數據包后再發往下一層。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層Linux網絡通信模型Device：網絡設備，它是網絡訪問層中面向系統一側的接口。不過這里所說的設備可能是某段具有特定功能的程序代碼，比如即使不存在物理網卡，也依然可以存在回環設備。Device主要的作用是抽象出統一的界面，讓程序代碼去選擇或影響收發包出入口，比如決定數據應該從哪塊網卡設備發送出去；還有就是準備好網卡驅動工作所需的數據，比如來自上一層的IP數據包、下一跳（NextHop）的MAC地址（這個地址是通過ARPRequest得到的）等等。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層Linux網絡通信模型Driver：網卡驅動程序是網絡訪問層中面向硬件一側的接口，網卡驅動程序會通過DMA把主存中的待發送的數據包，復制到驅動內部的緩沖區之中。數據被復制的同時，也會把上層提供的IP數據包、下一跳的MAC地址這些信息，加上網卡的MAC地址、VLANTag等信息，一并封裝成為以太幀，并自動計算校驗和。而對于需要確認重發的信息，如果沒有收到接收者的確認響應，那重發的處理也是在這里自動完成的。發送端fileSocketsTCPUDPIPDeviceDerver網絡設備發送端fileSocketsTCPUDPIPDeviceDevice網絡設備UserSpace用戶空間KernelSpace用戶空間源主機目標主機OSI模型TCP/IP模型應用層表示層會話層應用層傳輸層傳輸層網絡層網絡層數據鏈路層物理層網絡訪問層03Linux防火墻簡介Linux防火墻簡介從LinuxKernel2.4版開始，Linux內核開放了一套通用的、可供代碼干預數據在協議棧中流轉的過濾器框架，這就是Netfilter框架。Netfilter框架是Linux防火墻和網絡的主要維護者羅斯迪·魯塞爾提出并主導設計的，它圍繞網絡層IP協議的周圍，埋下了五個鉤子（Hooks），每當有數據包流到網絡層，經過這些鉤子時，就會自動觸發由內核模塊注冊在這里的回調函數，程序代碼就能夠通過回調來干預Linux的網絡通信。這些回調函數分別是：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。Linux防火墻簡介PREROUTING：來自設備的數據包進入協議棧后，就會立即觸發這個鉤子。注意，如果PREROUTING鉤子在進入IP路由之前觸發了，就意味著只要接收到的數據包，無論是否真的發往本機，也都會觸發這個鉤子。它一般是用于目標網絡地址轉換（DestinationNAT，DNAT）。INPUT：報文經過IP路由后，如果確定是發往本機的，將會觸發這個鉤子，它一般用于加工發往本地進程的數據包。TCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墻簡介FORWARD：報文經過IP路由后，如果確定不是發往本機的，將會觸發這個鉤子，它一般用于處理轉發到其他機器的數據包。OUTPUT：從本機程序發出的數據包，在經過IP路由前，將會觸發這個鉤子，它一般用于加工本地進程的輸出數據包。POSTROUTING：從本機網卡出去的數據包，無論是本機的程序所發出的，還是由本機轉發給其他機器的，都會觸發這個鉤子，它一般是用于源網絡地址轉換（SourceNAT，SNATTCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墻簡介Linux系統中廣泛使用的防火墻管理工具，均建立在Netfilter框架之上，主要包括：工具名稱簡介特點iptables最早期的Netfilter用戶空間控制工具，通過命令行操作實現對防火墻規則的配置與管理，支持IPv4網絡數據包過濾、NAT、連接追蹤等功能。穩定性高，社區廣泛支持，規則結構清晰，適合中小型環境，但不支持動態規則管理，語法配置較繁瑣。ip6tables與iptables類似，專用于管理IPv6流量的防火墻規則，提供與IPv4相似的控制邏輯和命令格式。專注于IPv6網絡防護，與iptables配合使用，規則結構一致，便于統一管理IPv4/IPv6網絡。nftables作為iptables的繼任者，由Netfilter項目開發，用于統一IPv4、IP