搭建基于netfilter/iptables的防火墙实验环境

核心提示：防火墙作为一种网络或系统之间强制实行访问控制的机制，是确保网络安全的重要手段，搭建基于netfilter/iptables的防火墙实验环境，针对不同的需求和应用环境，可以量身定制出不同的防火墙系统，Iptables是一个管理内核包过滤的工具，可以加入、插入或删除核心包过滤表格中的规则，防火墙大到可由若干路由器和堡垒主机

防火墙作为一种网络或系统之间强制实行访问控制的机制，是确保网络安全的重要手段。针对不同的需求和应用环境，可以量身定制出不同的防火墙系统。防火墙大到可由若干路由器和堡垒主机构成，也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能。 在众多网络防火墙产品中，Linux操作系统上的防火墙软件特点显著。首先是Linux操作系统作为一个类Unix网络操作系统，在系统的稳定性、健壮性及价格的低廉性方面都独具优势。更为重要的是，Linux不但本身的源代码完全开放，而且系统包含了建立Internet网络环境所需要的所有服务软件包，如Apache Web服务器、DNS服务器、Mail服务器、Database服务器等。同样，基于Linux的防火墙软件不但具有强大的功能，而且大部分都是开放软件。

随着Internet的飞速发展，安全问题越来越重要。利用Linux构建企业网深受中小企业的青睐，而利用Linux构建企业网的防火墙系统也成为众多中小企业的理想选择。 Linux 内核从1.1版本开始，就已经具备包过滤功能。在2.0内核中，开始采用Ipfwadm来操作内核的包过滤规则。到2.2版本时，Linux内核采用了 Ipchains来控制内核的包过滤规则。发展到2.4.x时，Ipchains被一个全新的包过滤管理工具Iptables所替代。新发布的2.6版内核也在安全方面进行了改进。因此，无论拥有哪个版本的Linux内核，无论选择哪个版本的Linux来构建自己的企业网，都可以利用现有的系统构建出一个理想实用的防火墙。 防火墙系统可分为包过滤型、应用级网关（也叫代理服务器型防火墙）和电路级网关三种基本类型。

Linux提供的防火墙软件包内置于Linux内核中，是一种基于包过滤型的防火墙实现技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包类型等信息来控制包的流向。更彻底的过滤则是检查包中的源端口、目的端口以及连接状态等信息。 Netfilter是Linux核心中一个通用架构，用于扩展各种服务的结构化底层服务。它提供一系列的表（tables），每个表由若干链（chains）组成，而每条链中可以由一条或数条规则（rule）组成。它可以和其它模块（如iptables模块和nat模块）结合起来实现包过滤功能。Iptables是一个管理内核包过滤的工具，可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些过滤规则的是Netfilter 。