提及防火墙，你想到的是什么?它是确保我们上网安全的一个屏障，也是云计算运维人员日常工作的好帮手。有不少初学云计算的同学对防火墙很好奇，接下来郑州云计算培训课程中千锋小编就给大家分享企业级Iptables防火墙。

　　一、Iptables介绍

　　Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具，它的功能十分强大，使用非常灵活，可以对流入和流出服务器的数据包进行很精细的控制。主要针对网络访问

　　Iptables其实并不是真正的防火墙，我们可以把他理解为一个客户端的代理，用户是通过Iptables这个代理，将用户的安全设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。

　　netfilter：内核空间，-是真正实现防火墙的功能。

　　Iptables：用户空间，在/sbin/Iptables存在的防火墙，通过Iptables提供管理，修改，删除或者插入规则。

　　用户和内核交互的一个工具就是Iptables。

　　实际生产环境中：

　　关闭Linux自身防火墙。(解决安全问题尽量不给服务器配置外网IP.需要访问的话，就使用代理转发。)因为高并发，Iptables会加大延迟。除非并发小，服务器必须处于公网。考虑开启防火墙。

　　大并发的情况，不能开Iptables,影响性能因为Iptables是要消耗CPU的，利用硬件防火墙提升架构安全

　　1、Iptables工作原理分类：

　　主机防火墙：主要是用来防范单台主机的进出报文;-----filter表

　　网络防火墙: 能够实现对进出本网络的所有主机报文加以防护----nat表

　　raw mangle nat filter

　　Iptables缺点：

　　1)防火墙虽然可以过滤互联网的数据包，但却无法过滤内部网络的数据包。因此若有人从内部网络攻击时，防火墙没有作用。

　　2)电脑本身的操作系统亦可能因一些系统漏洞，使入侵者可以利用这些漏洞绕过防火墙过滤，从而入侵电脑。

　　(3)防火墙无法有效阻挡病毒攻击，尤其是隐藏在数据中的病毒。

　　PS：没有绝对安全的操作系统，虽然防火墙有这些缺点，但还是能阻挡大多数来自于外网的攻击!

　　2、 Iptables工作流程

　　1)防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

　　2)如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。

　　3)如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

　　4)防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。

　　由于篇幅有限，本次郑州云计算培训课程只说这么多，后续小编会继续发布相关内容。你可以关注“千锋郑州校区”微信公众号，了解当前市场上的潮流技术和就业趋势。如果想参加专业的郑州云计算培训班，你可以来千锋试听体验，感受最真实的教学氛围。