Netfilter是 引入的一个子系统,作为一个通用的、抽象的框架,提供一整套的 hook 函数的管理机制
iptables是 Linux 应用层包过滤工具
说到 iptables 必然提到 Netfilter,iptables 是应用层的,其实质是一个定义规则的配置工具,而核心的数据包拦截和转发是 Netfiler。Netfilter 是 Linux 操作系统核心层内部的一个数据包处理模块
iptables 是用于设置防火墙,防范来自网络的入侵和实现网络地址转发、QoS 等功能,iptables 可以理解为一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中组成Linux平台下的包过滤防火墙,可以完成封包过滤、封包重定向和网络地址转换(NAT)等防火墙功能
ufw 是 Ubuntu下的一个简易的防火墙配置工具,用来管理 iptables 防火墙规则的用户防火墙
firewall 是 centos7 应用层包过滤工具 ,底层还是调用 iptables 来处理的
它拥有基于CU(命令行界面)和基于GUI(图形用户界面)的两种管理方式
相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。
FirewallD 使用区域和服务而不是链式规则。
它动态管理规则集,允许更新规则而不破坏现有会话和连接。
每次更改都意味着刷新所有旧规则并从 / etc/sysconfig/iptables 读取所有新规则,firewall 可以在运行时更改设置,而不丢失现有连接。
nftables是一个致力于替换现有的{ip,ip6,arp,eb}tables框架(也就是iptables
)的项目。
nft是iptables及其衍生指令(ip6tables,arptables)的超集。同时,nft拥有完全不同的语法。是的,如果你习惯于iptables,这是个不好的消息。但是有一个兼容层允许你使用iptables,而过滤是由内核中的nftables完成的。
安全增强型Linux(Security-EnhancedLinux)简称SELinux,它是一个Linux内核模块,也是Linux的一个安全子系统。SELinux主要作用就是最大限
度地减小系统中服务进程可访问的资源(最小权限原则)
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文
件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。
iptables 和 Netfilter 关系图:
iptables 和 fillwall 关系图:
iptables 和 netfilter 的关系:
iptables是框架 通过netfilter,来实现包过滤的
它是 Linux 内核中实现包过滤的内部结构。