内容发布更新时间 : 2024/5/14 12:48:57星期一 下面是文章的全部内容请认真阅读。

Linux 防火墙入门:简介

前言 一旦连上网络，就充满各种危机。 许多人基于各式各样的 理由，想侵入你的系统，这种人俗称为

cracker。尤有甚者，近年来，cracker

圈里流行一种结合病毒行为及系统漏洞的入侵工具，称为网虫(Netwrom)，它 以类似网络机器人(robot)的模式，到处扫射咬噬，已形成泛滥。比如：

Lion、CodeRed、Nimda 等。现在你只要将一台新安装好的 Win 平台的机器连 上网络，不消几分钟之内，即可钓中一堆 CoreRed 或 Nimda 咬噬的封包。 传统上，为了保护自身内部网络的安全，另一方面，也为了可以做 交通

网络进出

的控管，通常所采用的方法是建构一层网络防火墙系统，在外部网络和

内部网络之间，构筑一道屏障，以做为安全的区隔，使得特定的封包才能进入 我们的内部网络，而将大部份奇奇怪怪的封包，如 Nimda 网虫扫射的封包， 完全隔离在外，但同时，又可允许内部网络的机器自在地对外联机，内部的使 用者上网的行为甚少需要有任何改变。

换言之，防火墙系统可区隔网络

封包，使内部网络中流通的封包十分干净，更让网络管理者在安装新机器时， 比如 NT/W2K，不致于一装好、连上网络就中标。单就这点，防火墙系统对校 园网络管理者而言，就十分有价值。

不过，防火墙系统十分昂贵，平民

百姓及小单位的我们实在买不起，而且其功能也未必就如其所宣称的那样足以 符合我们的需求。因此许多前贤开始寻找其它替代的方案，在低成本、高效益、 弹性大的考量下，使用 FreeBSD/OpenBSD/Linux 来建构小型防火墙系统蔚为 流行。甚至许多公司拿 FreeBSD/Linux 的防火墙机制为基础，制造出商用的防 火墙系统；国内某一知名的防火墙公司，其防火核心即源自于 Linux。 什 么是网络防火墙？

根据前述，在此我给防火墙一个简单的定义

(这是

OLS3 自己的说法，若有误谬，请不吝指正)。 防火墙 是指一套用来明显

区隔两个(或以上)网络之间的一组软硬件装置，使网管人员得以事先制定种种 安全规则，针对网络交通及安全程度，进行过滤控制和调整，最大的目的在于 防止网络遭受入侵。 防火墙的种类？ 防火墙大概可以分为以下三种： ? 封包过滤式 (Packet Filtering Firewall) ? 网关式 ? 代理式 简单说明如下: 所谓封包过滤式防火墙是指：利用操作系统，在 IP 层及传 输层运作，藉由检查封包的 IP 表头，来决定该封包的路由(放行/转向/丢弃/拒 绝)，而达到保护自身网络的功能。本次研习要介绍的防火墙，即属于封包过滤 式的。这种防火墙的优点是：效能好、控管性高、成本低廉。 所谓网关式 防火墙是指：所有外部网络可以到达的地方，仅止于这台网关主机，而内部网 络的使用者欲连至外部网络，需要先登入这台网关主机。

所谓代理式防

火墙是指：针对每一种应用服务程序，做代理伺服的工作，clietn 端的使用者 其实是和这台代理主机连接，而非外部网络的主机，但却可使 client 端的使用 者，感觉到他真的在取用外部网络的主机服务一样，此种特性，称为 Proxy。 代理式防火墙的优点是：可确保资料的完整性，只有特定的服务才会被交换， 并可针对其内容做过滤防毒，可进行高阶的存取控制。

现代功能完备的

的防火墙，经常结合封包过滤及 Proxy 代理这二种特性，不过价格相常地高。 以中小学校园网络而言，封包过滤式的防火墙，其实已足敷需要了。tips:感谢 大家的阅读，本文由我司收集整编。仅供参阅！