Linux系统管理基础项目教程课件 V8-1 Linux防火墙简介

Linux操作系统Linux防火墙简介目录/Contents010203防火墙概述Linux网络通信模型简介Linux防火墙简介01防火墙概述防火墙概述防火墙是部署在网络边界上的一种安全设备，其概念比较宽泛，根据需求不同可以工作在OSI（OpenSystemInterconnection，开放式系统互联）网络模型的一层或多层上。通常来对网络进行隔离、保护操作系统的漏洞、阻止非法的信息流动、限制可访问的服务和审计根据实现方式和功能的不同，防火墙可以分为三种类型：包过滤防火墙、应用网关防火墙和状态检测防火墙。防火墙防护不能防御已授权服务中的恶意攻击、不能防御不通过防火墙的访问、不能防御操作系统本身存在的缺陷。防火墙虽能提供基础的网络边界防护，但仍需与入侵检测（IDS）、Web应用防火墙（WAF）、主机防护（HIDS）等协同部署，构建多层次、立体化的安全防御体系，以弥补其防护盲区，提升整体系统安全性。防火墙概述在网络安全体系中，不同类型的安全产品根据部署位置和功能承担各自的防护任务。下表列举了主要安全产品的部署位置与主要功能。安全产品部署位置主要功能防火墙（Firewall）内外网之间实现内外网隔离，限制跨网访问和非法请求WAF（WebApplicationFirewall）Web服务前端防护Web应用，拦截如SQL注入、XSS等攻击NIDS（网络入侵检测系统）内网交换节点或网关镜像口检测内网流量中的异常行为或攻击迹象HIDS（主机入侵检测系统）内网服务器主机检测服务器内部的异常操作或恶意行为IPS（入侵防御系统）网络或主机旁路/串联对已识别的攻击行为进行实时阻断与拦截防火墙概述从逻辑上讲，防火墙可以大体分为主机防火墙和网络防火墙。主机防火墙：针对于单个主机进行防护。网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。02Linux网络通信模型Linux网络通信模型Linux系统的网络通信模型，即信息是如何从程序中发出，通过网络传输，再被另一个程序接收到的。Linux系统的通信过程无论是按理论上的OSI七层模型，还是以实际上的TCP/IP四层模型来解构，都明显地呈现出“逐层调用，逐层封装”的特点，这种逐层处理的方式与栈结构，比如程序执行时的方法栈很类似，所以它通常被称为“Linux网络协议栈”，简称“网络栈”，有时也称“协议栈”。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层Linux网络通信模型Socket：应用层的程序是通过Socket编程接口，来和内核空间的网络协议栈通信的。LinuxSocket是从BSDSocket发展而来的，现在的Socket已经不局限于作为某个操作系统的专属功能，而是成为了各大主流操作系统共同支持的通用网络编程接口，是网络应用程序实际上的交互基础。应用程序通过读写收、发缓冲区来与Socket进行交互，在Unix和Linux系统中，出于“一切皆是文件”的设计哲学，对Socket的操作被实现为了对文件系统（socketfs）的读写访问操作，通过文件描述符（FileDescriptor）来进行。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层Linux网络通信模型TCP/UDP：传输层协议族里TCP和UDP是在Linux内核中被直接支持的协议。以TCP协议为例，内核发现Socket的发送缓冲区中，有新的数据被拷贝进来后，会把数据封装为TCPSegment报文，常见的网络协议的报文基本上都是由报文头（Header）和报文体（Body，也叫荷载“Payload”）两部分组成。接着，系统内核将缓冲区中用户要发送出去的数据作为报文体，然后把传输层中的必要控制信息，比如代表哪个程序发、由哪个程序收的源、目标端口号，用于保证可靠通信（重发与控制顺序）的序列号、用于校验信息是否在传输中出现损失的校验和（CheckSum）等信息，封装入报文头中。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层Linux网络通信模型IP：网络层协议最主要的就是网际协议（InternetProtocol，IP），其他的还有IGMP、大量的路由协议BGP、OSPF、IGRP等等。以IP协议为例，它会把来自上一层，即TCP报文的数据包作为报文体，然后再次加入到自己的报文头中，比如指明数据应该发到哪里的路由地址、数据包的长度、协议的版本号，等等，这样封装成IP数据包后再发往下一层。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层Linux网络通信模型Device：网络设备，它是网络访问层中面向系统一侧的接口。不过这里所说的设备可能是某段具有特定功能的程序代码，比如即使不存在物理网卡，也依然可以存在回环设备。Device主要的作用是抽象出统一的界面，让程序代码去选择或影响收发包出入口，比如决定数据应该从哪块网卡设备发送出去；还有就是准备好网卡驱动工作所需的数据，比如来自上一层的IP数据包、下一跳（NextHop）的MAC地址（这个地址是通过ARPRequest得到的）等等。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层Linux网络通信模型Driver：网卡驱动程序是网络访问层中面向硬件一侧的接口，网卡驱动程序会通过DMA把主存中的待发送的数据包，复制到驱动内部的缓冲区之中。数据被复制的同时，也会把上层提供的IP数据包、下一跳的MAC地址这些信息，加上网卡的MAC地址、VLANTag等信息，一并封装成为以太帧，并自动计算校验和。而对于需要确认重发的信息，如果没有收到接收者的确认响应，那重发的处理也是在这里自动完成的。发送端fileSocketsTCPUDPIPDeviceDerver网络设备发送端fileSocketsTCPUDPIPDeviceDevice网络设备UserSpace用户空间KernelSpace用户空间源主机目标主机OSI模型TCP/IP模型应用层表示层会话层应用层传输层传输层网络层网络层数据链路层物理层网络访问层03Linux防火墙简介Linux防火墙简介从LinuxKernel2.4版开始，Linux内核开放了一套通用的、可供代码干预数据在协议栈中流转的过滤器框架，这就是Netfilter框架。Netfilter框架是Linux防火墙和网络的主要维护者罗斯迪·鲁塞尔提出并主导设计的，它围绕网络层IP协议的周围，埋下了五个钩子（Hooks），每当有数据包流到网络层，经过这些钩子时，就会自动触发由内核模块注册在这里的回调函数，程序代码就能够通过回调来干预Linux的网络通信。这些回调函数分别是：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。Linux防火墙简介PREROUTING：来自设备的数据包进入协议栈后，就会立即触发这个钩子。注意，如果PREROUTING钩子在进入IP路由之前触发了，就意味着只要接收到的数据包，无论是否真的发往本机，也都会触发这个钩子。它一般是用于目标网络地址转换（DestinationNAT，DNAT）。INPUT：报文经过IP路由后，如果确定是发往本机的，将会触发这个钩子，它一般用于加工发往本地进程的数据包。TCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墙简介FORWARD：报文经过IP路由后，如果确定不是发往本机的，将会触发这个钩子，它一般用于处理转发到其他机器的数据包。OUTPUT：从本机程序发出的数据包，在经过IP路由前，将会触发这个钩子，它一般用于加工本地进程的输出数据包。POSTROUTING：从本机网卡出去的数据包，无论是本机的程序所发出的，还是由本机转发给其他机器的，都会触发这个钩子，它一般是用于源网络地址转换（SourceNAT，SNATTCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墙简介Linux系统中广泛使用的防火墙管理工具，均建立在Netfilter框架之上，主要包括：工具名称简介特点iptables最早期的Netfilter用户空间控制工具，通过命令行操作实现对防火墙规则的配置与管理，支持IPv4网络数据包过滤、NAT、连接追踪等功能。稳定性高，社区广泛支持，规则结构清晰，适合中小型环境，但不支持动态规则管理，语法配置较繁琐。ip6tables与iptables类似，专用于管理IPv6流量的防火墙规则，提供与IPv4相似的控制逻辑和命令格式。专注于IPv6网络防护，与iptables配合使用，规则结构一致，便于统一管理IPv4/IPv6网络。nftables作为iptables的继任者，由Netfilter项目开发，用于统一IPv4、IP