防火墙（读鸟哥的笔记）

Posted 2020-08-19

硬件防火墙

    是由厂商设计好的主机硬件， 这部硬件防火墙内的操作系统主要以提供封包数据的过滤机制为主，并将其他不必要的功能拿掉。因为单纯作为防火墙功能而已， 因此封包过滤的效率较佳

软件防火墙

    保护系统网络安全的一套软件(或称为机制)，例如 Netfilter 与 TCP Wrappers 都可以称为软件防火墙。

linux上防火墙依据防火墙管理的范围划分

    单一主机型的管控

        封包过滤型的 Netfilter 

        依据服务软件程序作为分析的 TCP Wrappers

    网域型管控

        由于此类防火墙都是当作路由器角色

        因此防火墙类型主要则有封包过滤的 Netfilter 与利用代理服务器 (proxy server) 进行存取代理的方式了。

  

• Netfilter (封包过滤机制)
  
  将进入主机的网络封包的表头数据捉出来进行分析，以决定该联机为放行或抵挡的机制。所以包括硬件地址(MAC), 软件地址 (IP), TCP, UDP, ICMP 等封包的信息都可以进行过滤分析的功能，因此用途非常的广泛。(其实主要分析的是 OSI 七层协议的 2, 3, 4 层啦)
  在 Linux 上面我们使用核心内建的 Netfilter 这个机制，而 Netfilter 提供了 iptables 这个软件来作为防火墙封包过滤的指令。

• TCP Wrappers (程序控管)
  透过服务器程序的外挂 (tcpd) 来处置的！主要是分析谁对某程序进行存取，然后透过规则去分析该服务器程序谁能够联机、谁不能联机。 由于主要是透过分析服务器程序来控管，因此与启动的埠口无关，只与程序的名称有关。 举例来说，我们知道 FTP 可以启动在非正规的 port 21 进行监听，当你透过 Linux 内建的 TCP wrappers 限制 FTP 时， 那么你只要知道 FTP 的软件名称 (vsftpd) ，然后对他作限制，则不管 FTP 启动在哪个埠口，都会被该规则管理的。

• Proxy (代理服务器)

通常 Proxy 就架设在路由器上 可以完整的掌控局域网络内的对外联机 

client 并没有直接连上 Internet

proxy 通常仅开放 port 80, 21, 20 等 WWW 与 FTP 的端口而已

可以使用squid软件设定

防火墙一般网络布线示意图

单一网域 仅一个路由器

内部网络包含安全性更高的子网

防火墙后面假设网络服务器主机