科技的發(fā)展，時代的進步，現(xiàn)在Linux越來越成為主流，這樣就很多人開始學(xué)習(xí)Linux系統(tǒng)，這里為你講解Linux防火墻入門：基本觀念，為你在Linux防火墻時起一定的作用。

封包過濾
所謂封包過濾，是一種小軟件，它藉以檢查 IP 封包的表頭，來決定該封包的命運(接受/轉(zhuǎn)向/丟棄/拒絕)。在 Linux 中，封包過濾的功能，已整合進入 Linux 核心(kernel)之中。
如何得知核心目前是有支持封包過濾功能呢?

查看此檔 /proc/net/ip_fwchains 是否存在便知(適用 Linux kernel 2.1.x~2.x)。
若此檔不存在，則核心必須重新制作，打開封包過濾選項，重新編譯安裝之。
封包過濾程序，即根據(jù) IP 封包的表頭中的來源IP、目的IP、封包型態(tài)、取自TCP/UPD表頭的 port 及其它一些旗標(biāo)信息，來決定此封包最后的命運。

至目前為止，Linux 核心封包過濾已發(fā)展到了第四代：
第 1 代 : Linux 1.x 移植自 BSD 的 ipfw第 2 代 : Linux 2.0 ipfwadm第 3 代 : Linux 2.1~2.x ipchains第 4 代 : Linux 2.4~ iptables
服務(wù)信道 (Service Ports)
所謂服務(wù)信道(port)是指：主機中應(yīng)用程序?qū)ν夥?wù)的管道。
port 的范圍從 0 到 65535。1~1023 保留給系統(tǒng)專用，僅有 root 權(quán)限者才能使用，稱之為：privileged ports (特權(quán)信道)。1024 ~ 65535 則稱為 unprivileged ports (非特權(quán)信道)。

非特權(quán)信道有二種用途：
·開放給系統(tǒng)中其它應(yīng)用服務(wù)程序使用，如 mysql 用 3306, X11 用 6000。
·當(dāng)使用 client 端程序(如 ssh)，連接到其它 server 主機的服務(wù)時(如 ssh server)，系統(tǒng)會在 1024 ~ 65535 中，隨機抽出一個未被占用的 port，指定給 client 聯(lián)機端，來當(dāng)作 client 端這邊的通訊 port，此時 client端的IP、port 以及 server端的IP、port，四者形成聯(lián)機時唯一的連結(jié)識別，當(dāng)雙方完成聯(lián)機所需的溝通時，我們說：client 端和 server 端的聯(lián)機，已經(jīng)建立(ESTABLISHED)。(我們稱這四者形成一組 socket pair。)

封包的種類
有三種 IP 封包，我們稱之為 IP 網(wǎng)絡(luò)訊息。這三種封包，正是封包過濾型防火墻所要專注的對象。它們各有不同的特性，如下所示：
·ICMP (network layer / IP control / status messages)
·UDP (request / response)
·TCP (syn, syn/ack, ack 三向交握)

私有 IP 空間
RFC 1918 里規(guī)定了三段范圍的 IP，供私有網(wǎng)絡(luò)(private network)實驗用途使用，在公開的網(wǎng)絡(luò)上它們不會被路由，正因為這種特性，因此極適合拿它們當(dāng)作內(nèi)部網(wǎng)絡(luò)的 IP，從而達到保護內(nèi)部網(wǎng)絡(luò)的目的。列出如下：
·Class A : 10.0.0.0/8 (整個 10.0.0.0 的 A Class 的 IP，約 1 千 6 百多萬個可用 IP
·Class B : 172.16.0.0/12 (共 16 個 B Class 的 IP，由 172.16.0.0 ~ 172.31.0.0，約一百萬個可用 IP)
·Class C : 192.168.0.0/16 (共有 255 個 C Class 的 IP，即：192.168.1.0 ~ 192.168.255.0，約 65000 個可用 IP

NAT
何謂 NAT ?
NAT 的 Network Address Translation 的簡稱，簡單來說，它是一種轉(zhuǎn)換地址的技術(shù)，經(jīng)常運用在防火墻的建置上，使得內(nèi)部的私有 IP，轉(zhuǎn)換成公開的 IP，而能和外界溝通。
IDS

何謂 IDS ?
IDS 是 Intrusion detection system 的簡稱(入侵偵測系統(tǒng))，它是一種監(jiān)測封包進出、比對入侵型態(tài)、預(yù)防入侵攻擊，并能適時提出警告的防御系統(tǒng)。
OLS3 推薦的 IDS 是 Snort，不輸商用專業(yè)級的入侵偵測系統(tǒng)何謂 DMZ ?
DMZ 是 De-militarized zone 的簡稱(非軍事區(qū))，它是內(nèi)部網(wǎng)絡(luò)(軍事區(qū))和外部網(wǎng)絡(luò)之間的一小段網(wǎng)絡(luò)，該區(qū)可受 IDS 的偵測保護，亦可受防火墻的監(jiān)控，或受其它安全機制的檢測，有一點接近公開的網(wǎng)段，但卻可以受到整個防火墻系統(tǒng)的保護。
封包過濾預(yù)設(shè)政策(Default Packet-Filtering Policy)

有二種預(yù)設(shè)的政策，設(shè)定防火墻時，要選擇使用那一種。
1.丟棄所有，欲放行，需用設(shè)定將它打開。(deny-everything policy)
2.接受所有，欲丟棄，需用設(shè)定將它關(guān)閉。(accept-everything policy)
第一種比第二種安全，在設(shè)定上比較單純。但第二種，比較容易使用，唯較容易忽略了某些考量。希望通過Linux防火墻入門的講解，你能學(xué)好它的基本觀念。

【編輯推薦】

1. 了解Linux入門掌握Linux系統(tǒng)
2. 剖析Linux內(nèi)核代碼入門方法
3. 入門學(xué)習(xí)：Linux定時任務(wù)Cron
4. 闡述Linux驅(qū)動程序“Hello world！”
5. 輕松了解Linux入門命令