前言

防火墻是基于預定安全規則來監視和控制傳入和傳出網絡流量的網絡安全系統。該計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。Linux中真正的防火墻是Netfilter，但由于都是通過應用層程序如iptables或firewalld進行操作，所以我們一般把iptables或firewalld叫做Linux的防火墻，iptables都是針對IPv4的，如果IPv6，則要用ip6tables。

類型

• 硬件防火墻

? ? ? ?擁有經過特別設計的硬件及芯片，性能高、成本高(當然硬件防火墻也是有軟件的，只不過有部分功能由硬件實現，所以硬件防火墻其實是硬件+軟件的方式)；

• 軟件防火墻

? ? ? ?應用軟件處理邏輯運行于通用硬件平臺之上的防火墻，性能比硬件防火墻低、成本低。

?思考

• iptables如何防止nmap掃描？

*處理動作

• ACCEPT：允許數據包通過；

• DROP：直接丟棄數據包，不回應任何信息，客戶端只有當該鏈接超時后才會有反應；

• REJECT：拒絕數據包，會給客戶端發送一個數據包被丟棄的響應的信息；

• SNAT：S指Source，源NAT(源地址轉換)。在進入路由層面的route之后，出本地的網絡棧之前，改寫源地址，目標地址不變，并在本機建立NAT表項，當數據返回時，根據NAT表將目的地址數據改寫為數據發送出去時候的源地址，并發送給主機。解決私網用戶用同一個公網IP上網的問題；

• MASQUERADE：是SNAT的一種特殊形式，適用于動態的、臨時會變的IP上；

• DNAT：D指Destination，目的NAT，解決私網服務端，接收公網請求的問題。和SNAT相反，IP包經過route之前，重新修改目標地址，源地址不變，在本機建立NAT表項，當數據返回時，根據NAT表將源地址修改為數據發送過來時的目標地址，并發給遠程主機?？梢噪[藏后端服務器的真實地址；

• REDIRECT：在本機做端口映射；

• LOG：在/var/log/messages文件中記錄日志信息，然后將數據包傳遞給下一條規則。 除去最后一個LOG，前3條規則匹配數據包后，該數據包不會再往下繼續匹配了，所以編寫的規則順序極其關鍵。

*防止過程

(1)開啟一臺kali(攻擊者)、一臺centos(服務端)查看IP：

(2)使用kali中的namp工具對服務端發出SYN等待服務端回應SYN+ACK報文，如果回應則可以看到服務端的端口開放情況，這里可以看到服務端的22端口是open的

(3)接著我們在服務端查詢規則INPUT，然后插入一條tcp-flags模塊來限制攻擊者的訪問

(4)然后我們再使用nmap進行掃描，這里可以看到22端口已經掃描不到了,如果要限制所有端口掃描可以再添加ALL,ACK來進行限制