Fordelene av brannmur Over ipchains iptables i Linux

Fordelene av brannmur Over ipchains iptables i Linux


Iptables og ipchains er allestedsnærværende Linux software brannmurer. Hver tilbyr detaljert kontroll over innkommende trafikk på en pakke eller økt nivå, med noen tilleggsmoduler for statistikk, nettverkstilstand og andre nyttige nettverksovervåking og kontrollfunksjoner. Selv om hvert verktøy er, per definisjon, en kernel-nivå pakke filtreringssystem, skiller de seg mye i omfang, funksjonalitet og enkel konfigurasjon.

grunn~~POS=TRUNC funksjoner

Ipchains er ofte betraktet som en forgjenger til Iptables, tilbyr enkel, rask og statsløse nettverk filtrering, mens Iptables tendens til å ha mer avanserte funksjoner. Begge software brannmurer tillater administratorer å blokkere enkel nettverkstrafikk basert på IP-adresse, TCP / UDP-port, og andre identifiserende kjennetegn. Iptables, gir flere avanserte alternativer for å matche pakker enn gjør ipchains, for eksempel innhold og etiketten basert matching.

Enkel konfigurasjon

Ipchains konfigurasjon er oppkalt etter sin lange rekke av regler for hver av de følgende grensesnitt situasjoner: inngang, utgang og spedisjon. Hver pakke følger hver kjede av regler fra det første til det siste, ta de nødvendige tiltak på en kamp (vanligvis slippe eller avvise pakken) og fortsetter hvis regelen stemmer ikke. Iptables fungerer på en lignende måte teknisk, men systemet er konfigurert til å bare følge den aktuelle kjeden, og moduler gir avansert analytisk informasjon om pakken, uten de komplekse rørlednings-lignende regler ipchains.

Adgang

Både Iptables og ipchains krever administrativ tillatelse til å få tilgang til og oppdatere. Den Iptables kommandolinjegrensesnitt lar systemadministratorer rask og detaljert tilgang til de ulike regler, kjeder og tabeller. Ipchains gir også en kommandolinje-grensesnitt, men det er mindre kraftig når det gjelder funksjonalitet og mer komplisert å mestre. Iptables moduler, som kan konfigureres på kommandolinjen i en regel, tilby avanserte pakkefiltrering evner i en lett-å-bruke måte.

Packet Mangling ·

Packet mangling er prosessen med å endre eller merking nettverkspakker som de passerer gjennom brannmuren. For avanserte brannmursystemer, er dette avgjørende for gjennomføringen av nettverksadministrasjon og sikkerhetsteknologier som Network Address Translation (NAT) og IP Security (IPSec) Virtuelle private nettverk (VPN). Iptables gjør dette enkelt via masquerade og omdirigering alternativer. Ipchains ikke implementerer noen form for pakke mangling teknologi.

Stateful Monitoring

Iptables moduler implementere Stateful Packet overvåking - en teknologi som gjør at brannmurer for å spore forbindelser og økter i stedet for individuelle pakker. Iptables gjenkjenner og kan sortere pakker av stater som ny, relatert og etablert som representerer forskjellige tilstander av en forbindelse livssyklus. Disse funksjonene gjør at system brannmurer for å være mer proaktive i å oppdage og reagere på avanserte nettverkstrusler som kan lure enklere, regelbaserte deteksjonssystemer. Ipchains ikke implementere noen tilstandsovervåking funksjonalitet.