基于Linux系统的包过滤防火墙

核心提示： （1）优点：→对于一个小型的、不太复杂的站点，包过滤比较容易实现，基于Linux系统的包过滤防火墙(3)，→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快，一般情况下，人们不单独使用包过滤网关，→过滤路由器为用户提供了一种透明的服务，用户

（1）优点：

→对于一个小型的、不太复杂的站点，包过滤比较容易实现。

→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。

→过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。

→过滤路由器在价格上一般比代理服务器便宜。

（2）缺点：

→一些包过滤网关不支持有效的用户认证。

→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能　性也会增加。

→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。

→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。

虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。

1.2　Netfilter/iptables架构

1.2.1 Linux下的包过滤防火墙管理工具

从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段：