linux防火墙

摘要
本章将分别使用iptables、firewall-cmd、firewall-config和TCP Wrappers等防火墙策略配置服务来完成数十个根据真实工作需求而设计的防火墙策略配置实验。

防火墙种类
内外网形式的防火墙，在外网和企业内网之间架设一台服务器或者路由器，配好过滤策略用来作为公司的防火墙。工作流程如图：

本地主机形式的防火墙：在本主机前面没有任何服务器对流量进行规则过滤，主机会收到所有的流量，这就需要在本地主机配置过滤规则，对所有的流量进行监控和过滤，即防火墙放在本地。
防火墙策略
防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。这样一来，就可以保证仅有合法的流量在企业内网和外部公网之间流动了。说的更简单一点就是，先定义好监控策略，然后在有流量经过时会根据这些策略对流量进行过滤，保证主机的安全。

在RHEL 7系统中，firewalld防火墙取代了iptables防火墙。对于接触Linux系统比较早或学习过RHEL 6系统的读者来说，当他们发现曾经掌握的知识在RHEL 7中不再适用，需要全新学习firewalld时，难免会有抵触心理。其实，iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具而已，或者说，它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。换句话说，当前在Linux系统中其实存在多个防火墙管理工具，旨在方便运维人员管理Linux系统中的防火墙策略，我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣，但它们在防火墙策略的配置思路上是保持一致的。大家甚至可以不用完全掌握本章介绍的内容，只要在这多个防火墙管理工具中任选一款并将其学透，就足以满足日常的工作需求了。

 

作者：qxxhjy
来源：CSDN
原文：https://blog.csdn.net/qxxhjy/article/details/81458532