iptables的基礎(chǔ)知識——防火墻的介紹：

　　iptables防火墻的任務(wù)：

　　防火墻在企業(yè)網(wǎng)絡(luò)安全的保護(hù)過程中角色至關(guān)重要。linux自1.1版本開始就開始集成了網(wǎng)絡(luò)防火墻機(jī)制，當(dāng)時叫做Ipfwadm，后來得到不斷地完善到2.2版本時更名為ipchains，發(fā)展到2.4以上版本時有更名為Iptables，也就一直延續(xù)至今。當(dāng)然，我們現(xiàn)在用的是2.6版本，其Iptables較2.4時更是得到了全面改進(jìn)。

　　我認(rèn)為，使用linux作為網(wǎng)絡(luò)管理，iptables是必學(xué)知識，而且是重要的基礎(chǔ)知識。所以作為我們每個IT管理人來說有必要將其掌握牢固。也正是此原因網(wǎng)人linux社區(qū)將此知識列為重要內(nèi)容板塊進(jìn)行展示。希望對大家的學(xué)習(xí)能起到幫助(其實郭工認(rèn)為這部分知識很容易掌握)

　　iptables是按照“策略(或叫做規(guī)則)”來進(jìn)行篩選工作的。所以我們學(xué)習(xí)防火墻基本上就是學(xué)習(xí)如何下達(dá)不同的規(guī)則命令。

　　使用iptables防火墻的目的：

　　1 創(chuàng)建規(guī)則來審核來往的數(shù)據(jù)包

　　不管來往的數(shù)據(jù)是服務(wù)器發(fā)給別人的還是別人發(fā)給服務(wù)器的，或者是數(shù)據(jù)通過服務(wù)器發(fā)給另外一臺電腦。只要數(shù)據(jù)經(jīng)過服務(wù)器的網(wǎng)卡，Iptables就會看一看數(shù)據(jù)，審查一下這個數(shù)據(jù)包符合我們哪條規(guī)則，來斷定該如何處理這個數(shù)據(jù)(是允許通過呢?還是阻止通過呢?還是刪除呢?還是交給其他服務(wù)器處理呢?)

　　所以iptables的角色就是我們的門衛(wèi)保安。假如你的邏輯夠使，你可以多設(shè)置規(guī)則進(jìn)行詳細(xì)篩選。就像給你的豪宅多設(shè)立幾個檢查站以免遺漏，讓不法分子進(jìn)來。

　　2 記錄internet活動

　　規(guī)則除了能夠篩選來往的數(shù)據(jù)，同樣也可以要求記錄下來往的數(shù)據(jù)。并且提供警報功能。通過在防火墻上實現(xiàn)日志服務(wù)，管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志是適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。

　　3 限制網(wǎng)絡(luò)暴露

　　iptables防火墻在你的網(wǎng)絡(luò)外緣(網(wǎng)關(guān)處)創(chuàng)建了保護(hù)機(jī)制。并且保護(hù)了內(nèi)網(wǎng)的一些信息不被外網(wǎng)輕易獲得，以增加保密性。我們可以理解為防止外部非法進(jìn)如我們的內(nèi)網(wǎng)，以及防止大量數(shù)據(jù)來襲，造成網(wǎng)絡(luò)堵塞。

　　4 用作網(wǎng)絡(luò)工作分配

　　假如我們想建立網(wǎng)站服務(wù)器、郵件服務(wù)器，當(dāng)然不能直接暴漏在internet上面，那樣的裸奔很容易被蒼蠅蚊子蜜蜂蟄到。我們把這些服務(wù)放在防火墻后面，然后通過防火墻進(jìn)行數(shù)據(jù)的過濾轉(zhuǎn)接。比如防火墻在收到web連接請求的時候，將這個請求轉(zhuǎn)發(fā)給web網(wǎng)站服務(wù)器。當(dāng)一個對web請求非常過分(突然間的同一遠(yuǎn)程IP發(fā)來很多連接)我們也可以通過防火墻將其阻攔下來。

　　以上就是iptables的基礎(chǔ)知識-iptables防火墻的介紹，下一篇文章講述iptables的狀態(tài)。

【編輯推薦】

IPtables防火墻使用技巧（超實用）

Linux下Iptables端口轉(zhuǎn)發(fā)功能的解決

四種NAT的iptables實現(xiàn)