??? 關(guān)于網(wǎng)絡(luò)安全的研究分析中,防火墻(Firewall)是被經(jīng)常強(qiáng)調(diào)的重點(diǎn)�����,它基本功能是過濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個(gè)部分與Internet之間的數(shù)據(jù)傳送(數(shù)據(jù)包)��。數(shù)據(jù)包其實(shí)就是一段段的數(shù)據(jù)����,其中同時(shí)包括了用來把它們發(fā)送到各自的目的地所必須的信息�。你可以把數(shù)據(jù)包想象成一個(gè)郵包:數(shù)據(jù)包本身就是郵包中的數(shù)據(jù),而信封上則是所有用來把這些信息發(fā)送到正確的機(jī)器和正確的程序中去的書信抬頭����,它同時(shí)還包含著回信地址等方面的信息。在其具體的過濾工作過程中����,防火墻將接管在此之前從網(wǎng)絡(luò)內(nèi)部存取Internet和從Internet存取該內(nèi)部網(wǎng)絡(luò)的路由設(shè)置。
??? 我們的感覺是以前的防火墻專門用來過濾一些非法的數(shù)據(jù)包����,要么為什么其中的一種類型稱為包過濾型防火墻呢?發(fā)展到現(xiàn)在��,它的功能是日益增多,不僅能夠過濾數(shù)據(jù)包�����,還能夠作網(wǎng)絡(luò)地址轉(zhuǎn)換��,作代理等等���。Linux內(nèi)核2.4中防火墻實(shí)現(xiàn)NetFilter就是這樣的。
??? 先來看看防火墻所處的位置�,我的理解是要么它裝在一臺(tái)機(jī)器上作個(gè)人防火墻,要么裝在一臺(tái)機(jī)器上為一個(gè)局域網(wǎng)提供網(wǎng)關(guān)的功能
??? 這副圖概括了裝在網(wǎng)關(guān)上的NetFilter的框架結(jié)構(gòu)圖�,從圖中可以看到一個(gè)數(shù)據(jù)包可能經(jīng)過的路徑,其中用[]擴(kuò)起來的東東�,稱為檢查點(diǎn),當(dāng)數(shù)據(jù)包到達(dá)這個(gè)點(diǎn)時(shí)��,就要停下來進(jìn)行一些檢查��。這里檢查點(diǎn)的名稱使用的是iptables中名稱����,具體到NetFilter中可能就要改為那些所謂的鉤子 (Hook)函數(shù)了。
??? NetFilter概括起來說��,它有下面的三個(gè)基本功能:
??? 1、數(shù)據(jù)過濾(filter表)
??? 2����、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat表)
??? 3、數(shù)據(jù)包處理(mangle表)
??? 根據(jù)這三個(gè)功能�����,將上面的五個(gè)檢查點(diǎn)按功能進(jìn)行了分類�。由于每個(gè)功能在NetFilter中對(duì)應(yīng)一個(gè)表,而每個(gè)檢查點(diǎn)又有若干個(gè)匹配規(guī)則�����,這些規(guī)則組成一個(gè)鏈�����,所以就有下面的說法:"NetFilter是表的容器����,表是鏈的容器,鏈?zhǔn)且?guī)則的容器.
關(guān)鍵詞標(biāo)簽:Linux防火墻
juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置