Netfilter

Netfilter是 引入的一个子系统，作为一个通用的、抽象的框架，提供一整套的 hook 函数的管理机制

iptables

iptables是 Linux 应用层包过滤工具

说到 iptables 必然提到 Netfilter，iptables 是应用层的，其实质是一个定义规则的配置工具，而核心的数据包拦截和转发是 Netfiler。Netfilter 是 Linux 操作系统核心层内部的一个数据包处理模块

iptables 是用于设置防火墙，防范来自网络的入侵和实现网络地址转发、QoS 等功能,iptables 可以理解为一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的安全框架中组成Linux平台下的包过滤防火墙，可以完成封包过滤、封包重定向和网络地址转换（NAT）等防火墙功能

UFW

ufw 是 Ubuntu下的一个简易的防火墙配置工具,用来管理 iptables 防火墙规则的用户防火墙

firewall

firewall 是 centos7 应用层包过滤工具 ,底层还是调用 iptables 来处理的

它拥有基于CU（命令行界面）和基于GUI（图形用户界面）的两种管理方式

相较于传统的防火墙管理配置工具，firewalld支持动态更新技术并加入了区域（zone）的概念。

• 特点

1. FirewallD 使用区域和服务而不是链式规则。

   
   



2. 它动态管理规则集，允许更新规则而不破坏现有会话和连接。

   每次更改都意味着刷新所有旧规则并从 / etc/sysconfig/iptables 读取所有新规则，firewall 可以在运行时更改设置，而不丢失现有连接。

   
   

nftables

nftables是一个致力于替换现有的{ip,ip6,arp,eb}tables框架（也就是iptables）的项目。

nft是iptables及其衍生指令（ip6tables,arptables）的超集。同时，nft拥有完全不同的语法。是的，如果你习惯于iptables，这是个不好的消息。但是有一个兼容层允许你使用iptables，而过滤是由内核中的nftables完成的。

seLinux

安全增强型Linux（Security-EnhancedLinux）简称SELinux，它是一个Linux内核模块，也是Linux的一个安全子系统。SELinux主要作用就是最大限

度地减小系统中服务进程可访问的资源（最小权限原则）

TCPWrappers

TCP_Wrappers是一个工作在第四层（传输层）的的安全工具，对有状态连接的特定服务进行安全检测并实现访问控制，凡是包含有libwrap.so库文

件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问，常见的程序有rpcbind、vsftpd、sshd,telnet。

iptables 和 Netfilter 关系图：

iptables 和 fillwall 关系图：

iptables 和 netfilter 的关系：

iptables是框架 通过netfilter，来实现包过滤的

它是 Linux 内核中实现包过滤的内部结构。