6、搭建 Linux 防火墙全攻略

搭建 Linux 防火墙全攻略

1. 安全基础：Windows 与防火墙的局限

在网络安全领域，防火墙固然重要，但不能忽视应用层和操作系统的安全。一些管理员建议，在配置服务器时应假设没有防火墙，这是个不错的策略。像 Linux 和 Unix 服务器，经过强化后甚至可以不需要防火墙。然而，Windows 系统很难达到这样的安全程度。而且，防火墙并非万能，即使有强大的 iptables 防火墙保护 Windows 主机，也无法抵御邮件传播的恶意软件、受感染的网站，以及商业软件中潜藏的间谍软件、广告软件、特洛伊木马和 rootkit 等，同时商业安全产品也无法检测出所有的恶意内容。

2. iptables 功能解析

2.1 iptables 的多重任务

• 数据包过滤：这是一个强大且灵活的机制，由于 TCP/IP 数据包头部未加密，即使对于加密传输，也能进行各种操作。iptables 规则基于地址、协议、端口号和 TCP/IP 数据包头部的其他部分进行过滤，不进行数据内容的检查或过滤。
• 路由：内置的路由功能非常方便，能将大量功能集成到单个设备和少量 iptables 规则中。
• 网络地址转换（NAT）：NAT 能让整个私有子网共享一个公共 IP 地址，也能让使用私有非路由地址的服务器提供公共服务。例如，使用低成本 DSL 互联网账户，只有一个公共 IP 地址，但通过 iptables NAT 防火墙，可以让局域网中的众多工作站、笔记本电脑和服务器共享该连接，对外界而言，所有流量都像是来