Linux防火墙的介绍（一）

作者:蜗牛更新于： 2018-04-09 18:49:07

　　Linux防火墙的历史。Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(htPS/wwwnetfilter.org/)。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。

　　Netfiltetliptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化的控制事实上,每一个主要的Linux版本中都有不同的防火墙软件套件,Iptabels(Netfilter)应用程序被认为是Linux中实现包过滤功能的第4代应用程序。

　　(1)第1代是Linux内核1.1版本,所使用的AlanCox是从BSDUnix中移植过来的lpfw。

　　（2）在2.0版的内核中,JosVos和其他一些程序员对lpfw进行了扩展,并且添加了Ipfwadm用户工具,Ipfw是比较老的Linux内内核版本提供的防火墙软件包,该软件包的全称是“Ipfwadm"なlpfiwadm程序包提供了建立规则的能力,根据这些规则来确定允许什么样的包进出本网络。简合单地说,防火墙就是一对开关,一个开关允许包通过,另一个开关禁止包通过。

　　现代防火墙系统一般都会附加审计跟踪、加加密认证、地址伪装和VPN等多种功能,作为一个安全开关,防火墙可定义的安全策略有如下两个一切未被允许的都被禁止。

　　切未被禁止的都被允许行分显然第一种策略的安全性明显高于第二种策略,但它是以牺牲灵活性和可访问资源为代价小来提高安全性的。Ipfwadm系统同样提供P封装,它允许用户使用Intemet上的一个公共IP地址空间。

　　(3)1999年,在第1个稳定的2.2.0内核中Russell和MichaelNeuling做了一些非常重要800的改进,即在该内核中Russell添加了帮助用户控制过滤规则的Ipchains工具。Linux2.2内核数影中提供的Ipchains,通过4类防火墙规则列表来提供防火墙规则控制。

　　这些列表称为“防火墙传静,链”,它们分别是IPInput(IP输入)链、IPoutput(IP输出)链、IPforward(IP转发)链和同userdefined(用户定义)链,一个链实际上就是一个规则表。所谓规则,即当被检测的包头符形合则的定义时按预先的设定对该包进行某种处理。

　　小编结语：其实，对于输入链是指对内连接请求的过滤规则,输为出是对外连接请求的过滤规则,转发链是对内部与外部通信包转发的过滤规则。