简单了解Linux操作系统中的防火墙软件及其部署案例解析

1.首先我们来简单的认识一下防火墙:
防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联 （US5606668（A）1993-12-15）。防火墙是位于内部 和外部 之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。下面让我们一起简单的了解一下三种防火墙:
第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个 络的 关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做 络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要 管对所工作的操作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上”所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前，市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS(操作系统)本身的安全性影响。传统硬件防火墙一般至少应具备三个端口，分别接内 ，外 和DMZ区(非军事化区)，现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种：芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统)，因此防火墙本身的漏洞比较少，不过价格相对比较高昂。
下面是从不同的方面来对防火墙进行的一些划分:

从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙;
从防火墙技术分为 “包过滤型”和“应用代理型”两大类;
从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;
按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类;
按防火墙性能分为百兆级防火墙和千兆级防火墙两类。

防火墙功能:

可以保护易受攻击服务;
控制内外 之间 络系统的访问;
集中管理内 的安全性，降低管理成本;
提高 络的保密性和私有性;
记录 络的使用状态，为安全规划和 络维护提供依据。

2.了解Linux防火墙: 防火墙的核心是数据 文的过滤，工作在主机或者 络的边缘，对进出的数据 文进行检查、监控并且能够根据事先定义的匹配条件和规则做出相应的动作的组件、机制或者系统。**Linux一般都是作为服务器系统来使用，对外提供一些基于 络的服务，通常我们都需要对服务器进行一些 络访问控制(常见的访问控制包括：哪些ip可以访问服务器、可以使用哪些协议访问服务器、可以通过哪些接口访问服务器，是否通过数据包进行修改等。比如：服务器可能受到来自于某个ip攻击，这时就需要禁止所有来自ip的访问)**这类似于防火墙的功能，所以我们称之为Linux防火墙服务。
接着我们认识一下基于操作系统的四层模型，防火墙是在哪一层工作的:

5.1学习iptables的命令格式(切记在使用iptables时必须将firewalld程序停掉):

1>drop——丢弃所有传入的 络数据包并且无回应，只有传出 络连接可用;
2>block——阻塞区，拒绝所有传入 络数据包并回应一条主机禁止的 ICMP 消息，只有传出 络连接可用;
3>public——只接受被选择的传入 络连接，用于公共区域;
4>external——外部区，用于启用了地址伪装的外部 络，只接受选定的传入 络连接;
5>dmz—— DMZ 隔离区，外部受限地访问内部 络，只接受选定的传入 络连接;
6>work——对于处在你工作区域内的计算机，只接受被选择的传入 络连接;
7>home——对于处在你家庭区域内的计算机，只接受被选择的传入 络连接;
8>internal——内部 络区域，对于处在你内部 络的计算机，只接受被选择的传入 络连接;
9>trusted——受信任区域，所有 络连接都接受。

6.2firewalld应用程序的使用及案例操作部署:
6.3通过图形化工具进行相应的配置(可以启动图形界面查看预定义服务，在有条件的情况下推荐使用图形化界面进行配置。预定义服务在命令行模式下可以通过查看firewalld.service(5)man手册也可以通过查看/usr/lib/firewalld/services/目录了解更详细):
#命令行下通过下列命令进入图形化界面

富规则的格式：

#重载

#启用Linux上的一些服务，以imaps协议为例

#端口管理

文章知识点与官方知识档案匹配，可进一步学习相关知识CS入门技能树Linux入门初识Linux24758 人正在系统学习中