研究分析中
防火墙(Firewall)是被经常强调重点它基本功能是过滤并可能阻挡本地网络或者网络某个部分和Internet的间数据传送(数据包)
数据包其实就是
段段数据其中同时包括了用来把它们发送到各自目地所必须信息你可以把数据包想象成个邮包:数据包本身就是邮包中数据而信封上则是所有用来把这些信息发送到正确机器和正确
中去书信抬头它同时还包含着回信地址等方面信息在其具体过滤工作过程中防火墙将接管在此的前从网络内部存取Internet和从Internet存取该内部网络路由设置我们
感觉是以前防火墙专门用来过滤些非法数据包要么为什么其中种类型称为包过滤型防火墙呢?发展到现在它功能是日益增多不仅能够过滤数据包还能够作网络地址转换作代理等等Linux内核2.4中防火墙实现NetFilter就是这样先来看看防火墙所处
位置我理解是要么它装在台机器上作个人防火墙要么装在台机器上为个局域网提供网关功能而后种情况则如下图所示:
这副图概括了装在网关上
NetFilter框架结构图从图中可以看到个数据包可能经过路径其中用
扩起来东东称为检查点当数据包到达这个点时就要停下来进行些检查这里检查点名称使用是iptables中名称具体到NetFilter中可能就要改为那些所谓钩子 (Hook)
了NetFilter概括起来说
它有下面 3个基本功能:1、数据过滤(filter表)
2、网络地址转换(nat表)
3、数据包处理(mangle表)
根据这 3个功能
将上面 5个检查点按功能进行了分类由于每个功能在NetFilter中对应个表而每个检查点又有若干个匹配规则这些规则组成个链所以就有下面说法:“NetFilter是表容器表是链容器链是规则容器”
最新评论