1、linux防火墻發(fā)展史？

1. 認(rèn)識防火墻

從邏輯上講防火墻可以分為主機防火墻和網(wǎng)絡(luò)防護墻。

主機防火墻：針對個別主機對出站入站的數(shù)據(jù)包進行過濾。（**作對象為個體）

網(wǎng)絡(luò)防火墻：處于網(wǎng)絡(luò)邊緣，針對網(wǎng)絡(luò)入口進行防護。（**作對象為整體）

從物理上講防火墻可以分為硬件防火墻和軟件防火墻。

硬件防火墻：通過硬件層面實現(xiàn)防火墻的功能，性能高，成本高。

軟件防火墻：通過應(yīng)用軟件實現(xiàn)防火墻的功能，性能低，成本低。

2. 系統(tǒng)防火墻發(fā)展過程

防火墻的發(fā)展史就是從墻到鏈再到表，也是從簡單到復(fù)雜的過程。

防火墻工具變化如下：

ipfirewall—>ipchains—>iptables–>nftables(正在推廣)

Linux 2.0版內(nèi)核中：包過濾機制為ipfw，管理工具是ipfwadm。

Linux 2.2版內(nèi)核中：包過濾機制為ipchain，管理工具是ipchains。

Linux 2.4，2.6,3.0+版內(nèi)核中：包過濾機制為netfilter，管理工具是iptables。

Linux 3.1（3.13+）版內(nèi)核中：包過濾機制為netfilter，中間采取daemon動態(tài)管理防火墻，管理工具是firewalld。

# 目前低版本的firewalld通過調(diào)用iptables(command)，它可以支持老的iptables規(guī)則（在firewalld里面叫做直接規(guī)則），

# 同時firewalld兼顧了iptables,ebtables,ip6tables的功能。

3. iptables和nftables

nftables

nftables誕生于2008年，2013年底合并到Linux內(nèi)核，從 Linux 3.13起開始作為iptables的替代品提供給用戶。

它是新的數(shù)據(jù)包分類框架，新的linux防火墻管理程序，旨在替代現(xiàn)存的 {ip,ip6,arp,eb}_tables，它的用戶空間管理工具是nft。

由于iptables的一些缺陷，目前正在慢慢過渡用nftables替換iptables，同時由于這個新的框架的兼容性，

所以nftables也支持在這個框架上運行直接iptables這個用戶空間的管理工具。

nftables實現(xiàn)了一組被稱為表達式的指令，可通過在寄存器中儲存和加載來交換數(shù)據(jù)。

也就是說，nftables的核心可視為一個虛擬機，nftables的前端工具nft可以利用內(nèi)核提供的表達式去模擬舊的iptables匹配，

維持兼容性的同時獲得更大的靈活性。

而未來最新的firewalld（0.8.0）默認(rèn)使用將使用nftables。詳情可以看www.firewalld.org

iptables、nftables和firewalld之間的區(qū)別與聯(lián)系

firewalld同時支持iptables和nftables，未來最新版本(0.8.0)默認(rèn)將使用nftables。

簡單的說firewalld是基于nftfilter防火墻的用戶界面工具。而iptables和nftables是命令行工具。

firewalld引入?yún)^(qū)域的概念，可以動態(tài)配置，讓防火墻配置及使用變得簡便。

準(zhǔn)確的說：iptables(command)的最底層是netfilter，它的用戶空間管理工具是iptables

nftables(command)是iptables(command) 的一個替代品并兼容iptables(command)，最底層依然是netfilter，它的用戶空間管理工具是nft，

同時未來firewalld最新版（0.8.0）也將默認(rèn)支持nftables(command)。https://firewalld.org/

iptables會把配置好的防火墻策略交給內(nèi)核層的netfilter網(wǎng)絡(luò)過濾器來處理

firewalld會把配置好的防火墻策略交給內(nèi)核層的nftables包過濾框架來處理

下圖為iptables、firewalld、nftables之間的關(guān)系圖：

?

4. centos6.X到centos7.X

centos6.X：防火墻由netfilter和iptables構(gòu)成。其中iptables用于制定規(guī)則，又被稱為防火墻的用戶態(tài)；

而netfilter實現(xiàn)防火墻的具體功能，又被稱為內(nèi)核態(tài)。簡單地講，iptables制定規(guī)則，而netfilter執(zhí)行規(guī)則。

centos7.X：防火墻在6.X防火墻的基礎(chǔ)之上提出了新的防火墻管理工具，提出了區(qū)域的概念，通過區(qū)域定義網(wǎng)絡(luò)鏈接以及安全等級。

5.怎樣學(xué)好防火墻的配置？

1）OSI7層模型以及不同層對應(yīng)哪些協(xié)議必須很熟悉 # 基礎(chǔ)必備

2）TCP/IP三次握手，四次斷開的過程，TCP HEADER，狀態(tài)轉(zhuǎn)換 # 基礎(chǔ)必備

3）常用的服務(wù)端口要非常清楚了解。 # 基礎(chǔ)必備

4）常用服務(wù)協(xié)議的原理，特別是http協(xié)議，icmp協(xié)議。 # 基礎(chǔ)必備

5）能夠熟練的利用tcpdump和wireshark進行抓包并分析，這樣會更好 # 拓展

6）對計算機網(wǎng)絡(luò)有研究，至少基本路由交換要很熟悉 # 拓展

6、企業(yè)中安全配置原則

盡可能不給服務(wù)器配置外網(wǎng)IP，可以通過**轉(zhuǎn)發(fā)或者通過防火墻映射。

并發(fā)不是特別大情況有外網(wǎng)IP，可以開啟防火墻服務(wù)。

大并發(fā)的情況，不能開iptables，影響性能，利用硬件防火墻提升架構(gòu)安全。

2、linux防火墻開啟之后是不是所有的端口都關(guān)閉了？

端口是抽象概念，關(guān)閉不了的。

防火墻只是阻止或者允許連接通過某個端口與系統(tǒng)交換信息。就算打開防火墻，不開放任何端口，系統(tǒng)和服務(wù)依然會**在某個端口上。比如你可試一下

1 打開防火墻 systemctl start firewalld

2 查看端口** netstat -lanp

3、linux查看防火墻是否開啟centos8？

我的回答：centos8查看防火墻是否開啟，需要執(zhí)行systemctl status firewalld。

systemctl list-unit-files| grep enabled

查看所有自啟動的服務(wù)，查找是否包括

firewalld服務(wù)。如果找不到，證明防火墻沒隨機自啟動。

否則就是防火墻是隨機啟動了，需要查看防火墻狀態(tài)，執(zhí)行systemctl status firewalld查看服務(wù)狀態(tài)。

4、Linux內(nèi)核提供防火墻嗎？

提供

selinux是基于內(nèi)核開發(fā)出來的一種安全機制，被稱之為內(nèi)核級加強型防火墻，有力的提升了系統(tǒng)的安全性。

SElinux的作用分為兩方面：1.在服務(wù)上面加上標(biāo)簽； 2.在功能上面限制功能

在linux系統(tǒng)中使用 getenforce 命令可以查看selinux的狀態(tài)：

disabled 為關(guān)閉狀態(tài)，對服務(wù)和功能都沒有限制

enforcing 為強制狀態(tài)，對服務(wù)和功能都進行限制

5、如何關(guān)閉linuxcentos7防火墻？

centos7防火墻是firewalld#關(guān)閉firewalldsystemctlstopfirewalld.service#啟動firewalldsystemctlstartfirewalld.service#把firewalld加入到系統(tǒng)服務(wù)systemctlenablefirewalld.service#從系統(tǒng)服務(wù)移除systemctldisablefirewalld.service