netfilter是网络流量操作(如数据包过滤、网络地址转换和端口转换)的框架。通过在内核中实现拦截函数调用和消息的处理程序,netfilter 允许其他内核模块直接与内核的网络堆栈进行接口连接。防火墙软件使用这些 Hook 来注册过滤规则和数据包修改功能,以便对经过网络堆栈的每个数据包进行处理。在到达用户空间组件或应用之前,任何传入、专出或转发的网络数据包都可以通过编程方式来检查、修改、丢弃或路由。Netfilter 是红帽企业 Linux 8 防火墙的主要组件。
nftables是一个新的过滤器和数据包分类子系统,其增强了netfilter的部分代码,但仍保留了 netfilter 的架构,如网络堆栈Hook、连接跟踪系统及日志记录功能。nftables 更新的优势在于更快的数据包处理、更快的规则集更新,以及以相同的规则同时处理IPv4和IP6。nftables 与原始 netfilter 之间的另一个主要区别是它们的接口。Netfilter 通过多个实用程序框架进行配置,其中包括iptables、ip6tables、arptables 和ebtables,这些框架现在已被弃用。Nftables 则使用单个 nft 用户空间实用程序,通过一个接口来管理所有协议,由此消除了以往不同前端和多retfilter 接口引起的争用问题。
Firewalld 是一个用于管理防火墙规则的动态防火墙管理工具,它在许多 Linux 发行版中被广泛使用,包括 Fedora、Red Hat Enterprise Linux(RHEL)和 CentOS。它的目标是提供一种简单而灵活的方式来配置和管理系统上的防火墙规则,以加强系统的安全性。
以下是 Firewalld 的一些主要特点和简单说明:
动态管理: Firewalld 允许管理员在运行时动态更改防火墙规则,而无需重新启动防火墙。这使得配置和调整规则变得更加方便和灵活。
Zone 概念: Firewalld 引入了“区域”(Zone)的概念,不同的区域可以应用不同的规则集。例如,公共区域和专用区域可以有不同的规则,以根据网络环境定制防火墙策略。
服务管理: Firewalld 允许管理员定义和使用服务来简化规则配置。每个服务都与一个或多个端口关联,从而简化了常见应用程序的防火墙规则配置。
端口管理: 除了服务之外,管理员还可以直接配置防火墙规则以打开或关闭特定端口。这对于自定义应用程序或特殊需求非常有用。
Rich 规则: Firewalld 支持使用“Rich 规则”来创建复杂的规则,例如按源 IP、目标 IP、端口范围等条件过滤流量。
防火墙状态监控: Firewalld 提供了监控防火墙状态和活动的工具,允许管理员查看当前的防火墙规则和连接状态。
易于使用的命令行界面: Firewalld 提供了易于使用的命令行工具,如 firewall-cmd,使管理员可以轻松配置和管理防火墙
好啦,这次的分享就到这里,感谢大家看到这里🤞