提及防火墙,你想到的是什么?它是确保我们上网安全的一个屏障,也是云计算运维人员日常工作的好帮手。有不少初学云计算的同学对防火墙很好奇,接下来郑州云计算培训课程中千锋小编就给大家分享企业级Iptables防火墙。
一、Iptables介绍
Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。主要针对网络访问
Iptables其实并不是真正的防火墙,我们可以把他理解为一个客户端的代理,用户是通过Iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。
netfilter:内核空间,-是真正实现防火墙的功能。
Iptables:用户空间,在/sbin/Iptables存在的防火墙,通过Iptables提供管理,修改,删除或者插入规则。
用户和内核交互的一个工具就是Iptables。
实际生产环境中:
关闭Linux自身防火墙。(解决安全问题尽量不给服务器配置外网IP.需要访问的话,就使用代理转发。)因为高并发,Iptables会加大延迟。除非并发小,服务器必须处于公网。考虑开启防火墙。
大并发的情况,不能开Iptables,影响性能因为Iptables是要消耗CPU的,利用硬件防火墙提升架构安全
1、Iptables工作原理分类:
主机防火墙:主要是用来防范单台主机的进出报文;-----filter表
网络防火墙: 能够实现对进出本网络的所有主机报文加以防护----nat表
raw mangle nat filter
Iptables缺点:
1)防火墙虽然可以过滤互联网的数据包,但却无法过滤内部网络的数据包。因此若有人从内部网络攻击时,防火墙没有作用。
2)电脑本身的操作系统亦可能因一些系统漏洞,使入侵者可以利用这些漏洞绕过防火墙过滤,从而入侵电脑。
(3)防火墙无法有效阻挡病毒攻击,尤其是隐藏在数据中的病毒。
PS:没有绝对安全的操作系统,虽然防火墙有这些缺点,但还是能阻挡大多数来自于外网的攻击!
2、 Iptables工作流程
1)防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
2)如果匹配上了规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了。
3)如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。
4)防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。
由于篇幅有限,本次郑州云计算培训课程只说这么多,后续小编会继续发布相关内容。你可以关注“千锋郑州校区”微信公众号,了解当前市场上的潮流技术和就业趋势。如果想参加专业的郑州云计算培训班,你可以来千锋试听体验,感受最真实的教学氛围。
相关文章
了解千锋动态
关注千锋教育服务号
扫一扫快速进入
千锋移动端页面
扫码匿名提建议
直达CEO信箱