Linux中的防火墙----iptables

防火墙，它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

防火墙根据主要的功能可分为网络层防火墙、应用层防火墙、数据库防火墙。

网络层防火墙主要是根据网络层、传输层的封包的属性来制定防火墙的规则，主要依据是源IP和目的IP地址，源端口和目的端口

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

防火墙通常使用的安全控制手段主要有包过滤、状态监测、代理服务。包过滤技术是一种点单、有效的安全控制技术，他通过在网络间相互连接的。

Iptables 是Linux内核集成的IP信息过滤系统。

Iptables最基本的三个操作：

启动指令    service iptables start

重启指令    service iptables restart

关闭指令    service iptables stop

Iptables有四个内建表：关于它的描述见如图1，图2，图3，图4

　　　　　　　　　　　　　　　　　　　　　　　　图1

　　　　　　　　　　　　　　　　　　　　　　　图2

　　　　　　　　　　　　　　　　　　　　　　　　图3

　　　　　　　　　　　　　　　　　　　　　　图4

理解iptables规则的关键：

1.Rules包括一个条件和一个目标（target）。

2.如果满足条件，就执行目标（target）中的规则或则特定值。

3.如果不满足条件，就判断下一条Rules。

目标值有四种：

ACCEPT—允许防火墙接收数据包；

DROP—防火墙丢包；

QUEUE—防火墙将数据包移交到用户空间；

RETURN—防火墙停止执行当前链中的后续Rules，并返回到调用链中；

iptables 部分指令分析，如图5

　　　　　　　　　　　　　　　　　　　　　　　　图5