精华内容
下载资源
问答
  • netfilter/iptables详解

    千次阅读 2015-03-24 20:11:58
    防火墙的简介 防火墙是指设置不同网络或网络安全域之间的一系列部件的...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依

    防火墙的简介

    防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定 IP 包是否可以传进或传出内部网。


    防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。


    防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。


    通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问;集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;记录网络的使用状态,为安全规划和网络维护提供依据。



    防火墙的分类

    防火墙技术根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙代理服务器两种类型。


    防火墙的工作原理

    1.包过滤防火墙工作原理



    2.代理服务型防火墙工作原理
    代理服务型防火墙是在应用层上实现防火墙功能的。它能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。


    iptables简介

    netfilter/iptables(简称为iptables)组成 Linux 平台下的包过滤防火墙,与大多数的Linux 软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。


    iptables基础

    规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。


    链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。
    表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。


    iptables传输数据包的过程
    ① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。

    ② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。

    ③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。



    iptables命令格式

    iptables的命令格式较为复杂,一般的格式如下:
    iptables [-t table] 命令 [chain] [rules] [-j target]

    table——指定表明

    命令——对链的操作命令

    chain——链名

    rules——规则

    target——动作如何进行


    1.表选项
    表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。


    2.命令选项iptables命令格式
    -P或--policy  <链名>:定义默认策略
    -L或--list  <链名>:查看iptables规则列表
    -A或—append  <链名>:在规则列表的最后增加1条规则
    -I或--insert  <链名>:在指定的位置插入1条规则
    -D或--delete  <链名>:从规则列表中删除1条规则
    -R或--replace  <链名>:替换规则列表中的某条规则
    -F或--flush  <链名>:删除表中所有规则
    -Z或--zero  <链名>:将表中数据包计数器和流量计数器归零


    3.匹配选项
    -i或--in-interface  <网络接口名>:指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
    -o或--out-interface  <网络接口名>:指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
    -p或---proto协议类型  < 协议类型>:指定数据包匹配的协议,如TCP、UDP和ICMP等
    -s或--source  <源地址或子网>:指定数据包匹配的源地址
    --sport <源端口号>:指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
    -d或--destination  <目标地址或子网>:指定数据包匹配的目标地址
    --dport目标端口号:指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口


    4.动作选项
    ACCEPT:接受数据包
    DROP:丢弃数据包
    REDIRECT:与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
    SNAT:源地址转换,即改变数据包的源地址
    DNAT:目标地址转换,即改变数据包的目的地址
    MASQUERADE: IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNAT
    LOG:日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错


    iptables命令格式:



    iptables过滤条件:



    iptables的语法

    1.定义默认策略
    当数据包不符合链中任一条规则时,iptables将根据该链预先定义的默认策略来处理数据包,默认策略的定义格式如下。


    iptables  [-t表名] <-P> <链名> <动作> 参数说明如下。

    [-t表名]:指默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
    <-P>:定义默认策略。
    <链名>:指默认策略将应用于哪个链,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
    <动作>:处理数据包的动作,可以使用ACCEPT(接受数据包)和DROP(丢弃数据包)。


    2.查看iptables规则
    查看iptables规则的命令格式为:
    iptables  [-t表名] <-L> [链名]


    参数说明如下。
    [-t表名]:指查看哪个表的规则列表,表名用可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认查看filter表的规则列表。
    <-L>:查看指定表和指定链的规则列表。
    [链名]:指查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING,如果不指明哪个链,则将查看某个表中所有链的规则列表。


    3.增加、插入、删除和替换规则
    相关规则定义的格式为:
    iptables  [-t表名]  <-A | I | D | R> 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] <-j动作>


    参数说明如下。
    [-t表名]:定义默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
    -A:新增加一条规则,该规则将会增加到规则列表的最后一行,该参数不能使用规则编号。
    -I:插入一条规则,原本该位置上的规则将会往后顺序移动,如果没有指定规则编号,则在第一条规则前插入。
    -D:从规则列表中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。
    -R:替换某条规则,规则被替换并不会改变顺序,必须要指定替换的规则编号。
    <链名>:指定查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
    [规则编号]:规则编号用于插入、删除和替换规则时用,编号是按照规则列表的顺序排列,规则列表中第一条规则的编号为1。
    [-i | o 网卡名称]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。
    [-p 协议类型]:可以指定规则应用的协议,包含TCP、UDP和ICMP等。
    [-s 源IP地址 | 源子网]:源主机的IP地址或子网地址。
    [--sport 源端口号]:数据包的IP的源端口号。
    [-d目标IP地址 | 目标子网]:目标主机的IP地址或子网地址。
    [--dport目标端口号]:数据包的IP的目标端口号。
    <-j动作>:处理数据包的动作,各个动作的详细说明可以参考前面的说明。


    4.清除规则和计数器
    在新建规则时,往往需要清除原有的、旧的规则,以免它们影响新设定的规则。如果规则比较多,一条条删除就会十分麻烦, 这时可以使用iptables提供的清除规则参数达到快速删除所有的规则的目的。


    定义参数的格式为:
    iptables  [-t表名] <-F | Z>


    参数说明如下。
    [-t表名]:指定默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。
    -F:删除指定表中所有规则。
    -Z:将指定表中的数据包计数器和流量计数器归零。


    iptables实例

    禁止客户机访问不健康网站

    【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站。
    iptables -I FORWARD -d www.sexy.com -j DROP


    【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。
    iptables -I FORWARD -d 20.20.20.20 -j DROP


    禁止某些客户机上网
    【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。
    iptables -I FORWARD -s 192.168.1.X -j DROP


    【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。
    iptables -I FORWARD -s 192.168.1.0/24 -j DROP


    禁止客户机访问某些服务
    【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP


    【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机。
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP


    强制访问指定的站点
    【例】强制所有的客户机访问192.168.1.x这台Web服务器。
    iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.x:80


    禁止使用ICMP协议
    【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。
    iptables -I INPUT -i ppp0 -p icmp -j DROP


    发布内部网络服务器
    【例1】发布内网10.0.0.3主机的Web服务,Internet用户通过访问防火墙的IP地址即可访问该主机的Web服务。
    iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.3:80

    【例2】发布内网10.0.0.3主机的终端服务(使用的是TCP协议的3389端口),Internet用户通过访问防火墙的IP地址访问该机的终端服务。
    iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.3:3389


    转自:http://www.opsers.org/linux-home/videos/chapter-netfilter-iptables-raiders.html

    展开全文
  • NAT和防火墙

    2019-12-08 23:14:23
    网络地址翻译@没文化的酒鬼 防火墙和NAT NAT路由器是安装了NAT软件的路由器,拥有至少一个全球通用的外部IP。 计算机网络中,NAT最直接的作用是IP...防火墙的直接作用是数据包过滤,拒绝一切主动请求与内网...

    网络地址翻译@没文化的酒鬼

    防火墙和NAT

    NAT路由器是安装了NAT软件的路由器,拥有至少一个全球通用的外部IP。

    在计算机网络中,NAT最直接的作用是IP映射:将内网终端A的IP和端口号经过NAT映射后,转成公网服务器B的IP和新端口号;当B接收到目的地终端C返回到B的应答之后,B将查找Translate Table,把C的应答转回给A。

    防火墙的直接作用是数据包的过滤,拒绝一切主动请求与内网终端进行通信的未知IP。

    但NAT不是单纯的翻译翻译IP和端口号就完事儿,它也会考虑任一C、D、E、F……送上门来的这个数据包,到底是不是B应该接收的,对于不该接收的,它会拒绝。NAT似乎包揽了部分的数据包过滤功能。

    防火墙

    防火墙
    防火墙隔断内网和外网。分为两种:

    1. Packet-filtering :是否拒绝接收信息,取决信息来源的于IP地址、端口号,这属于IP/TCP/UDP的管辖范围;
    2. application-level :双向考虑,外网想进内网来的内容有没有问题;内网想送出去的内容该不该送出去。于是设立了应用层的大门。Telnet举例,想通过Telnet通信的ClientA必须通过ALG审核。路由器会阻断所有未经ALG,擅自想出去/进来的数据包。整个过程归应用层管。

    默认的防火墙功能:1.当某外网终端送来内容,且与外网的通信建立是由内网发起的,那么内容被接收;2.一切未经内网发起的外来通信请求将被阻断。

    这两种防火墙的整体弊端:

    1. 防不住IP假冒。路由器并不知道数据包是否真的来源于数据包自己宣称的地址;
    2. 需求繁琐。用户为了自证身份,必须要知道怎么跟ALG(Apllication Gateway)通信,于是产生了对IP地址代理商的需求;同时存在多个APP需要多扇ALG的复杂问题。

    NAT

    NAT示意图
    NAT最基础的意义在于,把路由器右边的10.0.0.X和左边的138.76.29来回翻译。从右边往左翻译,是为了让内网的信息有资格在外网中传播;从左往右翻译,是为了外网送进来的内容能到达指定的的终端,具体是:X的值是多少。但是既然需要这样费时费力地来回翻译,NAT的存在有什么特别的意义?

    考虑几个场景。

    • IPV4濒临枯竭的情况下,要确保每一台终端都分配到一个类似138.76.29的IP,需要花费多少IP。
    • 如果要不打扰所有内网10.0.0.X地把138.76.29给换掉。
    • 如果要不打扰外网(不进行广播)地把10.0.0.2给换掉。
      NAT, bingo>

    NAT分四种: Full Cone Address Restricted Cone、Port Restricted Cone、Symmetric

    ——前三种为什么叫锥形?

    NAT是一种地址映射协议。锥形的意义在于同一公网IP和端口(锥形顶点)可能与多个外部终端(锥形底面)建立通信。一个内部IP地址和端口来的所有请求,都映射到相同的公网IP地址和端口,并且,能否与外部终端进行通信,取决于选取的NAT种类是哪种,PORT RESTRICTED是最严格的,要求IP、PORT NUMBER全都固定;FULL CONE最宽松,NAT为A打开一个口以后,只要建立了内部网络的IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以通过该端口访问A。

    ——锥形和非锥形的根本区别在哪里?
    锥形有一个顶点,即经过Translate table后唯一的IP和端口号,无论一个内网终端A进行通信的外部设备有几台,A仅具有独一的IP和端口号。
    在NAT已分配端口号给终端A的情况下,如果终端A继续用内网12345端口与另一外网服务器通讯,锥型NAT还会继续用原来62000公网端口,即所分配的端口号不变。而对于对称型NAT,NAT将会分配另一端口号(如62001)给终端A的1235端口。也就是说,同一内网主机同一端口号,对于锥型NAT,无论与哪一外网主机通讯,都不改变所分配的端口号;而对于对称型NAT,同一内网主机同一端口号,每一次与不同的外网主机通讯,就重新分配另一个端口号。

    ——既然有NAT Router为内部终端翻译地址从而能够进行内外网的自由通信,那内部终端为什么还要打听自己的公网IP?
    一个内网终端A主动往外网终端B发包后,B所属的局域网的防火墙会把A阻拦,所以接下来A、B想进行通信,B需要再向A发包,这时因为A已经主动建立过与B的通信,所以A不会拒绝B。A、B相互发送的数据包的源IP,都必须是公网IP和端口号,子网IP的数据包是不会被正确追踪和传送的。NAT Router只负责映射出一个表格,不负责动态、自动地给每个想与外部建立连接的A终端分配并修改数据包上的Src IP,所以从A发出的数据包,A必须自己负责确定卸载数据包上的Src IP是多少,这就要求,在发出之前,搞清楚自己的公网IP和端口号。

    怎样让内网的应用程序知道自己的公网IP和端口号,这个问题叫做NAT的穿透。有四种解决NAT穿透问题的办法,前三种是向NAT外部设备发出询问,第四种是向NAT本身发出询问。

    1. STUN(Simple Traversal of UDP Through NATs) 通过与外部的STUN服务器建立UDP连接,继而询问公网IP和端口号。如果STUN服务器仅一台,那么不同的应用程序被反馈的端口号是唯一的,因此这种方法的弊端在于不支持对称NAT。除此,STUN无法进行TCP连接。
    2. TURN(Traversal Using Relay NAT)TURN允许多媒体数据包直接传向TURN服务器,从而适用在对称型NAT,但带来了其他一系列复杂问题,现在SIP用户很少支持TURN。
    3. ICE(Interactive Connectivity Establishment)最理想的穿透方式,能够保证:除非在用户接起电话的一瞬间数据是连通的,否则用户的电话铃就不会响起。对NAT种类没有要求。
    4. UPnP(Universal Plug and Play)一次性询问NAT大门:我是谁,我在哪。获得NAT Gateway 提供的IP、端口号。但考虑某种网络:NAT大门串联存在的网络,这时UPnP一定不能起效。另一个弊端:每当新的应用程序出现,Application Layer Gateway 需要获得更新,这将UPnP的使用限制在大型企业。至今没有商用的SIP ALGs。 UPnP的限制性描述
    展开全文
  • 介绍netfilter/iptables之前,我们先来了解下防火墙: 防火墙是指设置不同网络或网络安全域之间的一系列部件的组合,...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序...

    在介绍netfilter/iptables之前,我们先来了解下防火墙:

    防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。

    防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。

    防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。
    参考资料:http://www.ha97.com/4082.html

    防火墙的任务简单描述就是“放行合法”或者“封锁不合法”的数据包。至于哪些合法,哪些不合法就在于防火墙上规则(rule)的定义了。

    Netfilter可以说是Linux的第三代防火墙。netfilter/iptables组成Linux平台下的包过滤防火墙。

    这里写图片描述

    我们需要弄清楚netfilter跟iptables是什么关系。
    iptables是用户态的,是一个规则编辑工具,防火墙管理员通过这个工具对内存中的规则执行添加、删除及修改操作,它使插入、修改和除去信息包过滤表中的规则变得容易。

    netfilter则是内核态的(其实Linux和netfilter是两个相互独立的组织,Linux每隔段时间就会下载最新版的netfilter源码加入到自己所开发的Linux系统中),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。。我们上面用iptables编辑的规则最终是通过netfilter机制来实现的。

    简而言之,就是防火墙管理员通过iptables工具,将“防火墙规则”写入到netfilter的规则数据库中。所以Linux防火墙比较正确的名称应该是netfilter/iptables。

    这里写图片描述

    上图,很直观的反应了用户空间的iptables和内核空间的基于Netfilter的ip_tables模块之间的关系和其通讯方式,以及Netfilter在这其中所扮演的角色。

    回过头,我们看看iptables
    iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
    这里我们主要介绍下iptables传输数据包的过程。因为我们后面的netfilter机制主要围绕这个来介绍。

    iptables传输数据包的过程:

    1. 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去;
    2. 如果数据报就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它;
    3. 本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出;
    4. 如果数据报是要转发出去的,且内核允许转发,数据包就会如下图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

    这里写图片描述

    需要清楚的是,上面这幅图及其说明是针对iptables的。netfilter机制对此有重新命名,不要搞混了。

    iptables命令(请参考相关资料如《Linux网络安全技术与实现》)配下去的每一条规则,最终都是通过netfilter机制实现的。
    所以如果iptables不能满足我们当下的需求,我们可以针对netfilter去对其进行扩展。这也是我们需要额外的研究netfilter机制的一个重要原因。

    netfilter使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求,从而只允许您想要的网络流量进入系统。

    未完,待续,后面我们将着重分析netfilter机制。

    转自:https://blog.csdn.net/wenqian1991/article/details/50363690

    展开全文
  • 防火墙(Firewall): ...防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 网络中,防火墙是一种隔离技术。是两个网络

     

    防火墙(Firewall)

    防火墙指的是一个由软、硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障使Internet与Internet之间建立起一个安全网关(Security Gateway)。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

    在网络中,防火墙是一种隔离技术。是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问与外界进行通讯。

    从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构。

    从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。

    吞吐量:吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

    吞吐量报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。

    Full Duplex : 双全工.

    几种类型:

    1、网络层防火墙:可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。

    我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

    2、应用层防火墙:是在 TCP/IP 堆栈的“应用层”上运作,咱们使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接丢弃)。理论上此类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

    3、数据库防火墙:是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

    数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。

    数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。

    展开全文
  • 介绍netfilter/iptables之前,我们先来了解下防火墙: 防火墙是指设置不同网络或网络安全域之间的一系列部件的组合,它能增强... 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先
  • 防火墙的简介 防火墙是指设置不同网络或网络安全域...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一 一比较,直到满足其中的一条规则为止,然后依据控制机制做出...
  • iptables防火墙

    2016-12-27 19:29:28
    防火墙的简介防火墙是指设置不同网络或网络安全域之间的一系列部件的...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后...
  • Linuxiptables防火墙介绍:一.防火墙的概述(一).防火墙的简介防火墙是指设置不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,...
  • 转自:防火墙的概述  ...它可以根据网络传输的类型决定IP包是否可以传进或传出内部网防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中
  • iptables全攻略

    2017-08-01 15:04:00
    防火墙的简介 防火墙是指设置不同网络或网络安全域...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相...
  • netfilter/iptables全攻略

    2015-05-29 17:56:11
    防火墙的简介 防火墙是指设置不同网络或网络安全域之间的一...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做
  • 防火墙的简介 防火墙是指设置不同网络或网络安全域之间的一...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做
  • 防火墙的简介 防火墙是指设置不同网络或网络安全域之间的一...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做
  • IPCOP接口含义

    千次阅读 2006-04-05 22:33:00
    受重要保护的网络,所有进入内网的数据包都要经过IPCOP的过滤和检测,当然内网之间访问IPCOP不能到作用(也许IPCOP也可以当交换机用^_^)蓝色网口(我喜欢的颜色)是一个可选的网络,可以将无线设备放置这个网络里...
  • 防火墙是指设置不同网络或网络安全域之间的一系列部件的组合,... 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制...
  • 防火墙是指设置不同网络或网络安全域...防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果...
  • 一、防火墙的简介  1、 防火墙是指设置不同网络或网络安全域之间的一系列部件的组合,它能增强...2、防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到
  • 所谓防火墙指的是一个由软件和硬件设备组合而成、内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间...
  • 新版Android开发教程.rar

    千次下载 热门讨论 2010-12-14 15:49:11
    也有分析认为,谷歌并不想做一个简单的手机终端制造商或者软件平台开发商,而意一统传统互联网和 移 动互联网。----------------------------------- Android 编程基础 4 Android Android Android Android 手机新...
  • 5个目标文件,演示Address EJB的实现 ,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
  • JAVA上百实例源码以及开源项目

    千次下载 热门讨论 2016-01-03 17:37:40
    5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...

空空如也

空空如也

1 2
收藏数 26
精华内容 10
关键字:

在外部数据包经过过滤