關(guān)于網(wǎng)絡(luò)安全的研究分析中，防火墻（Firewall）是被經(jīng)常強調(diào)的重點，它基本功能是過濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。數(shù)據(jù)包其實就是一段段的數(shù)據(jù)，其中同時包括了用來把它們發(fā)送到各自的目的地所必須的信息。

你可以把數(shù)據(jù)包想象成一個郵包：數(shù)據(jù)包本身就是郵包中的數(shù)據(jù)，而信封上則是所有用來把這些信息發(fā)送到正確的機器和正確的程序中去的書信抬頭，它同時還包含著回信地址等方面的信息。在其具體的過濾工作過程中，防火墻將接管在此之前從網(wǎng)絡(luò)內(nèi)部存取Internet和從Internet存取該內(nèi)部網(wǎng)絡(luò)的路由設(shè)置。

我們的感覺是以前的防火墻專門用來過濾一些非法的數(shù)據(jù)包，要么為什么其中的一種類型稱為包過濾型防火墻呢？發(fā)展到現(xiàn)在，它的功能是日益增多，不僅能夠過濾數(shù)據(jù)包，還能夠作網(wǎng)絡(luò)地址轉(zhuǎn)換，作代理等等。Linux內(nèi)核2.4中防火墻實現(xiàn)NetFilter就是這樣的。

先來看看防火墻所處的位置，我的理解是要么它裝在一臺機器上作個人防火墻，要么裝在一臺機器上為一個局域網(wǎng)提供網(wǎng)關(guān)的功能，而后種情況則如下圖所示：

這副圖概括了裝在網(wǎng)關(guān)上的NetFilter的框架結(jié)構(gòu)圖，從圖中可以看到一個數(shù)據(jù)包可能經(jīng)過的路徑，其中用[]擴起來的東東，稱為檢查點，當(dāng)數(shù)據(jù)包到達(dá)這個點時，就要停下來進(jìn)行一些檢查。這里檢查點的名稱使用的是iptables中名稱，具體到NetFilter中可能就要改為那些所謂的鉤子 (Hook)函數(shù)了。

NetFilter概括起來說，它有下面的三個基本功能：

1、數(shù)據(jù)過濾（filter表）

2、網(wǎng)絡(luò)地址轉(zhuǎn)換（nat表）

3、數(shù)據(jù)包處理（mangle表）

根據(jù)這三個功能，將上面的五個檢查點按功能進(jìn)行了分類。由于每個功能在NetFilter中對應(yīng)一個表，而每個檢查點又有若干個匹配規(guī)則，這些規(guī)則組成一個鏈，所以就有下面的說法：“NetFilter是表的容器，表是鏈的容器，鏈?zhǔn)且?guī)則的容器”

一個鏈(chain)其實就是眾多規(guī)則(rules)中的一個檢查清單(checklist)。每一條鏈中可以有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包”。當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈時，系統(tǒng)就會從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件: 如果滿足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話，系統(tǒng)就會根據(jù)該鏈預(yù)先定義的策略(policy)來處理該數(shù)據(jù)包。

而一個iptables命令基本上包含如下五部分：希望工作在哪個表上、希望使用該表的哪個鏈、進(jìn)行的操作(插入，添加，刪除，修改)、對特定規(guī)則的目標(biāo)動作和匹配數(shù)據(jù)包條件。

基本的語法為：iptables -t table -Operation chain -j target match(es)（系統(tǒng)缺省的表為"filter"）

基本操作如下：

-A 在鏈尾添加一條規(guī)則

-I 插入規(guī)則

-D 刪除規(guī)則

-R 替代一條規(guī)則

-L 列出規(guī)則

基本目標(biāo)動作，適用于所有的鏈：

ACCEPT 接收該數(shù)據(jù)包

DROP 丟棄該數(shù)據(jù)包

QUEUE 排隊該數(shù)據(jù)包到用戶空間

RETURN 返回到前面調(diào)用的鏈

foobar 用戶自定義鏈

基本匹配條件，適用于所有的鏈：

-p 指定協(xié)議(tcp/icmp/udp/...)

-s 源地址(ip address/masklen)

-d 目的地址(ip address/masklen)

-i 數(shù)據(jù)包輸入接口

-o 數(shù)據(jù)包輸出接口

匹配條件擴展：

TCP-----匹配源端口，目的端口，及tcp標(biāo)記的任意組合，tcp選項等。

UPD-----匹配源端口和目的端口

ICMP----匹配ICMP類型

MAC-----匹配接收到的數(shù)據(jù)的mac地址

MARK----匹配nfmark

OWNE----(僅僅應(yīng)用于本地產(chǎn)生的數(shù)據(jù)包)來匹配用戶ID，組ID，進(jìn)程ID及會話ID

LIMIT---匹配特定時間段內(nèi)的數(shù)據(jù)包限制。這個擴展匹配對于限制dos攻擊數(shù)據(jù)流非常有用。

STATE---匹配特定狀態(tài)下的數(shù)據(jù)包(由連接跟蹤子系統(tǒng)來決定狀態(tài))，可能的狀態(tài)包括：

INVALID (不匹配于任何連接)

ESTABLISHED (屬于某個已經(jīng)建立的鏈接的數(shù)據(jù)包)

NEW (建立連接的數(shù)據(jù)包)

RELATED (和某個已經(jīng)建立的連接有一定相關(guān)的數(shù)據(jù)包，例如一個ICMP錯誤消息或ftp數(shù)據(jù)連接)

TOS——匹配IP頭的TOS字段的值。

【編輯推薦】

1. Linux個人防火墻的設(shè)計與實現(xiàn)
2. 快速構(gòu)架Linux防火墻