用iptable来提高网络安全(1)

　　每一位Linux的新用户都会在某种程度上开始考虑在这以新的特殊的操作系统上安装防火墙系统，最终，每个人都遇到了iptable的概念，在早期，用户可能并不知道iptable是什么意思，甚至没有听到过这个术语，这一实事令人非常失望，要知道有效的iptable管理对于Linux网络环境的安全是至关重要的。

　　在下文中，我将假设您曾听说过防火墙这个词，并且对防火墙与计算机与网络的关系有些模糊的认识，简而言之，防火墙提供并强制实现了允许与拒绝通过某些特定端口对特定网络上的计算机进行访问的规则，对大多数Windows用户而言，提到防火墙时，他们往往会想到Windows防火墙、ZoneAlarm、诺顿防火墙或者他们会认为是一个“硬件防火墙”，比如很多可以从Circuit City或是Best Buy等地方买到的低廉的路由器设备。

　　Windows防火墙和ZoneAlarm（还有很多其他产品）有时被称作“软件防火墙”，事实上，它们和硬件防火墙在概念上有一些区别，从实际的角度看，它们在概念上最大的不同是其所提供的安全程度的差别。因为软件防火墙位于本地系统，它提供的是减弱了的安全性：当未经授权的访问触及到软件防火墙时，它已经触及了软件防火墙所要保护的系统，当然，这并不是说您不应该使用这样的软件防火墙，而是说它们仅仅是一个额外的安全层，如果使用得当，它可以提高你网络的整体安全，但您永远不要用软件防火墙来替代独立的硬件防火墙。

　　作为防火墙来讲，Windows防火墙和ZoneAlarm的质量都很低，即使ZoneAlarm Pro版（比免费版本的要好很多，并且令人难以置信地优于Windows XP系统中有着深深的漏洞的Windows防火墙）也不能算是一个强大的防火墙，诺顿防火墙在某些方面比上述的产品要好，比如它能够提供更佳的安全性，但在某些方面又比较差，比如它难以进行配置，掩藏了它所做的工作，这比ZoneAlarm还要差（但和Windows防火墙是相同的），通常，诺顿防火墙可能会把很多东西搅在一起而没有给用户任何的提示，除了“哦，这可能又是诺顿搞的”。

　　总而言之，这些运行在Windows系统上的主流防火墙软件的主要问题在于它们没有运行在足够低的层次来提供真正有意义的安全，还有其他一些基于Windows系统的防火墙软件提供了更为基础的防火墙功能，它们使用Windows核心Socket的API，但是Windows操作系统所设计和驱动的这些API提供了潜在的“泄漏”，所以即使是这些基于Windows Socket层的防火墙（比如iSafer Winsock Firewall）也可以被黑客通过聪明的办法解决，这主要依赖于您在网络连接中所使用的一系列硬件和驱动程序等。

　　最后，这些基于Windows系统的防火墙的问题主要在于这些位于操作系统上层的软件试图让操作系统在控制网络信息包之前放弃对这些信息的控制，这样才可以对信息流进行有效过滤。