1、linux中的iptables主機型防火牆工作在2層(識別MAC地址)、3(識別ip)、4層(識別埠)、對TCP/IP資料包進行過濾和限制、屬於包過濾型防火牆(除非編譯核心才可以使iptables支援7層)
缺點:
- 防火牆可以過濾網際網路的資料包、但無法過濾內部網路的資料包
- 電腦本身的作業系統的漏洞、使入侵者可以利用這些漏洞繞過防火牆
- 防火牆無法有效的阻擋病毒的攻擊、尤其是應隱藏再資料中的病毒(除非硬體防火牆是可以識別的-硬體防火有7層協議可解析應用層的資料)
- 正常情況下、所有網際網路的資料包軟體都經過防火牆的過濾、這將造成網路交通的瓶頸、例如在攻擊型的資料包出現時、攻擊者不寄出資料包、讓防火牆疲於過濾資料包、而使一些合法的資料包軟體無法正常進出防火牆
#PS:沒有絕對安全的作業系統、雖然防火牆有這些缺點但還是能阻擋大多數來自於外網的攻擊
四個表:-- 相當於一個保安小隊
- filter過濾表
- nat轉換(網路地址轉換network address transform) - 內部區域網
- mangle碾壓表 - 涉及資料包跟蹤(少用)
- raw生的
五個鏈:-- 相當於小隊中的各個保安員
- PREROUTING 預路由
- POSTROUTING 已路由
- INPUT 入站
- OUTPUT 出站
- FORWARD 轉發
策略:
- 192.168.19.12 DROP #禁止透過
- 192.168.19.100 ACCEPT #允許透過