1.ファイアウォールを認識します
論理的には、ファイアウォールは、ホストとネットワークファイアウォール保護壁に分けることができます。
ファイアウォールホスト:個々の送信パケットの受信フィルタのホスト。(個人の操作対象)
ネットワークファイアウォール:ネットワークエッジで、Webポータルからの保護のために。(全体としての操作対象)
物理的には、ファイアウォールは、ハードウェアとソフトウェアのファイアウォールに分けることができます。
ハードウェアのファイアウォール:ハードウェアファイアウォールは機能性、高いパフォーマンスとコストのレベルを達成することができます。
ソフトウェアファイアウォール:ファイアウォールの機能は、アプリケーションソフトウェア、低性能と低コストにより実現します。
2.ファイアウォールシステムの開発
壁の歴史は、ファイアウォールからのチェーンにして、テーブルに、だけでなく、単純なものから複雑なプロセスにあります。
工具交換のファイアウォール次のように:
IPFIREWALL --->のipchains ---> iptablesの - > nftables(推進されて)
Linuxのカーネル2.0:IPFWのパケットフィルタリング機構、管理ツールは、IPFWADM。
Linuxカーネルのバージョン2.2:ipchainのためのパケットフィルタリング機構、管理ツールipchainsの。
Linuxカーネルのバージョン2.4,2.6,3.0+:netfilterのためのパケットフィルタリング機構、管理ツールは、iptablesのです。
Linuxの3.1(3.13+)カーネルのバージョン:netfilterのためのパケットフィルタリング機構、中間管理職の動的ファイアウォール管理ツールはfirewalldあるデーモン取ります。
#iptablesの(コマンド)を呼び出すことによって、低firewalldの現在のバージョンは、それが(内部firewalldで直接ルールと呼ばれる)古いiptablesのルールをサポートすることができ、
#Firewalld考慮にiptablesの、ebtablesの、ip6tablesを関数を取って同じ時間。
3. iptablesの和nftables
nftables
2008年に生まれたnftables、Linuxからのiptablesのための代替としてユーザに最初からLinuxカーネル、3.13から2013年末までに合併。
それはユーザ空間の管理ツールNFTで、既存の{IP、IP6、ARP、EB} _TABLESを置き換えることを意図し、新たなパケット分類フレームワーク、新しいファイアウォールのLinux管理プログラム、です。
いくつかの欠陥のiptablesのため、移行はゆっくりと、iptablesのnftablesに置き換え、そしてので新しいフレームワークの互換性のされています
だから、nftablesも、この枠組みの中で、ユーザ空間のiptablesの直接実行管理ツールをサポートしています。
nftablesは、データを交換するレジスタとロードに格納することで、表現と呼ばれる命令セットを実装しています。
つまり、コアnftablesは、仮想マシンとして見ることができ、古いiptablesの試合をシミュレートするために表現を使用することができ、カーネルが提供するフロントエンドツールのNFTをnftables
より高い柔軟性を実現しながら、互換性を維持します。
将来的には、最新のfirewalld(0.8.0)は、デフォルトのnftablesを使用します。詳細はwww.firewalld.org見ることができます
iptablesの、nftablesとfirewalldの違いとの関係
firewalldは、 iptablesのとnftablesをサポートし、最新バージョン(0.8.0)の将来はデフォルトnftablesで使用されています。
単にファイアウォールnftfilter firewalldベースのユーザー・インターフェース・ツールを置きます。iptablesのとnftablesは、コマンドラインツールです。
firewalldエリア、動的構成、ファイアウォール構成の概念を導入し、単純化されます。
言って正確な:iptablesの(コマンド)下のはnetfilterのですが、それはユーザ空間の管理ツールですiptablesの
nftables(コマンド)が、それはユーザ空間の管理ツールです、代替のiptablesの(コマンド)であるとiptables(コマンド)と互換性があり、下部には、まだnetfilterのあるNFT、
同じ時間、将来のfirewalld最新バージョン(0.8.0)で、支持nftables(コマンド)をデフォルト設定されます。https://firewalld.org/
iptablesのは、コア層を処理するためにネットワークをフィルタリングするように構成されたファイアウォールポリシーをnetfilterのだろう
firewalldは、カーネル層プロセスnftablesパケットフィルタリングフレームワークにファイアウォールポリシーを構成します
以下は、iptablesの、firewalld、nftablesの関係は示しています。
centos7.X 4. centos6.X
centos6.X:netfilterのファイアウォールの構成要素はとiptables。ここでまた、ユーザーモードのファイアウォールとして知られているiptablesのルールのため、
Netfilterのファイアウォールともカーネルモードとして知られている特定の機能を実現。単純に、iptablesのルールを入れ、ルールのnetfilterの実装。
centos7.X:ファイアウォール6.Xは新しいファイアウォール管理ツール上のファイアウォールに基づいて作られた、地域の概念、ネットワークリンクとセキュリティのレベルによって定義された領域。
5.ファイアウォールを設定する方法を学ぶのか?
1)OSI7層モデルと層が必要基礎位に精通しなければならないものに対応する異なるプロトコル
2)TCP / IPスリーウェイハンドシェイク、4つの壊れたプロセス、TCPヘッダ、状態遷移に必要な基礎#
3)共通サービスポートは非常に明確に理解されるように。#エッセンシャル基礎
共通サービス契約の4)原則として、特にhttpプロトコル、ICMPプロトコル。#エッセンシャル基礎
5)を巧みに行うのtcpdumpとwiresharkのパケットキャプチャおよび分析を使用することができ、#を展開する方が良いだろう
6)コンピュータネットワークに関する研究、少なくとも基本的なルーティングと非常に精通#を拡張するスイッチング
6、企業のセキュリティ設定ガイドライン
サーバーへの外部ネットワークはファイアウォールを介してまたはプロキシマッピングを介して転送することが可能とIPが設定されていません。
同時実行では、ファイアウォールサービスをオンにすることができ、ネットワークのIP外、特に大きなケースではありません。
大規模な同時の場合は、オープンiptablesのは、パフォーマンスに影響を与える、セキュリティを強化するために、ハードウェアのファイアウォール・アーキテクチャを使用することはできません。