簡介

防火墻(Firewall):工作在主機或網(wǎng)絡(luò)邊緣，對進出的報文按事先定義的規(guī)則進行檢查，并且由匹配到的規(guī)則進行處理的一組硬件或軟件，甚至可能是二者的結(jié)合

Firewall分類：主機防火墻（工作于主機邊緣）；網(wǎng)絡(luò)防火墻（工作于網(wǎng)絡(luò)邊緣）

iptables：只是防火墻規(guī)則的編寫工具，工作于用戶空間，編寫規(guī)則并發(fā)送到netfilter

netfilter：能使規(guī)則生效的防護框架，工作于內(nèi)核空間

Netfilter防護原理

在內(nèi)核中的TCP/IP協(xié)議棧上選擇了5個點(又稱為“卡哨”)，這5個點是報文一定會流經(jīng)的位置，并配置5個鉤子函數(shù)(hook_function)；當有報文經(jīng)過時，被鉤子函數(shù)鉤起，對規(guī)則進行檢查，并按照一定的機制(又可稱為“功能”)完成處理