基于Linux系统的包过滤防火墙

核心提示： → 在2.0的内核中,采用ipfwadm来操作内核包过滤规则，→ 在2.2的内核中，基于Linux系统的包过滤防火墙(4)，采用ipchains来控制内核包过滤规则，→在2.4内核中，可以通过简单的构造一个内核模块来实现网络新特性的扩展，为底层的网络特性扩展带

→ 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。

→ 在2.2的内核中，采用ipchains来控制内核包过滤规则。

→　在2.4内核中，采用一个全新的内核包过滤管理工具—iptables.

Linux因其健壮性、可靠性、灵活性以及几乎无限范围的可定制性而在IT界变得非常受欢迎。Linux具有许多内置的能力，使开发人员可以根据自己的需要定制其工具、行为和外观，而无需昂贵的第三方工具。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，所要用到的一种内置能力就是针对网络上Linux系统的防火墙配置。可以在Netfilter/iptables IP信息包过滤系统（它集成在2.4.x版本的Linux内核中）的帮助下运用这种能力。Netfilter/iptables是与最新的2.4.x版本 Linux内核集成的IP信息包过滤系统。

与ipfwadm和ipchains这样的Linux信息包过滤方案相比，Netfilter/iptables信息包过滤系统是最新的解决方案，使用户更易于理解其工作原理，也具有更为强大的功能。对于Linux系统管理员、网络管理员以及家庭用户（他们想要根据自己特定的需求来配置防火墙、在防火墙解决方案上节省费用和对IP信息包过滤具有完全控制权）来说，Netfilter/iptables系统十分理想，且更容易被使用。

1.2.2 新一代的Netfilter网络底层架构

Netfilter是一种内核中用于扩展各种网络服务的结构化底层构架。Netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性加入到内核中并不需要重新启动内核。这样，可以通过简单的构造一个内核模块来实现网络新特性的扩展。为底层的网络特性扩展带来了极大的便利，使更多从事网络底层研发的人员能够集中精力实现新的网络特性。