用iptable来提高网络安全(2)

　　免费的UNIX防火墙

　　免费版本的UNIX拥有更好的包过滤模型，例如在Linux有netfilter项目，netfilter工作在整合了操作系统内核的网络通信过滤上，负责在netfilter中实施与执行的控制规则的管理系统被称作iptable；在OpenBSD操作系统中也有类似的机制，被称作pf，在iptable和pf的相互比较中，都有许多被引用过的优点与缺点。

　　无论如何，iptable和pf作为防火墙系统来讲都极其出色，尽管我没有做过详尽的调查，但在零售电子产品的市场中至少有一半的硬件防火墙实际上运行着嵌入了Linux内核与netfilter的系统，有些运行着iptable，有些则运行着替代iptable的古怪的混合事物，这样做让所有的事情的工作方式与种不同，也许是为了阻止人们对在幕后工作的路由器于防火墙设备施加更多的控制。不管怎样，如果您购买了路由器/防火墙设备，您就有了合理的机会运行iptable作为防火墙，即使您从没在任何设备上安装过Linux。

　　由于Linux（和其他免费版本的UNIX）的开放式与模块化设计，与内核集成的包过滤功能比较容易实现，并且在近几年中得以不断提高，因此，这促成了防火墙功能与这些操作系统的网络界面之间的“联姻”，在理论上，这基本上也提供了一个难以渗透的网络模型。

　　当然，在理论上，理论和实践是相同的，但是，在实践中它们是不同的。在实践中，您能从这种安全模型中获得的安全取决于您有效定义防火墙规则以及过滤规则管理系统的灵活性与功能性，比如在我们讨论的环境中，就是iptable。

　　iptable的前任被称作ipchain，迄今为止，它是与iptable最相似的，区别在于ipchain的配置和管理要比iptable复杂一些，而且，ipchain是没有状态的，而iptable是有状态的。这意味着iptable可以根据当前网络通信的运行状态来实施防火墙规则：例如，规则可以根据某一特定端口的数据流量来部署，而不止是简单地封锁这一端口。这使得iptable在确保系统安全方面比ipchain更加有用。更有趣的是，ZoneAlarm在很少的情况下也是有状态的，但它的这种状态在很大程度上是无法配置的，因此其状态操作的好处可以被自动脚本绕过，如果写脚本的人要知道他或她在做什么。