用iptable来提高网络安全(3)

　　iptable基础

　　无论您在外部使用的是哪种防火墙，对于给定的机器在适当的位置进行恰当的iptable配置总是一个好主意。根据用途的不同，每一个单独的机器可能会有不同的包过滤需求，因此，外部防火墙设备的配置应该最大程度上允许本地系统去做其所需要做的事情，同时，每个单独的机器也应该能在最大程度上拒绝其侥幸的可能，而不需牺牲其关键功能。

　　当您开始安装一台Linux机器的时候，它可能已经有了某些形式的iptable配置。在某些Linux的发布版本中，可能会包含好几页长的复杂规则，设计这些规则的目的在于让用户使用上百个应用软件于服务，而用户可能根本就不会碰它们；这就是想的太多的发布版本这些年所做的，比如Mandrake。最小化的系统有一个趋势，就是将所有的设置都设为“允许”，给出了极端简单但是本质上没有意义的配置，这样的配置假设用户会对配置进行改动，这样做其实等同与安装了安全软件而根本没有进行任何设置，实际上，想的太多的方式也并没有比不进行配置的安全方式更有效。

　　有一些用户界面工具可以在更高的层面、更抽象并以更“友好”的方式来管理您的系统安全配置，这样，您就不必针对单个表格的定义和规则管理命令来对iptable进行手动配置了，您可以通读帮助页面来完整地了解如何直接配置iptable，这只需要简单的在命令行输入“man iptables”即可。

　　另一方面，这些用户界面的防火墙管理工具，包括了支持CLI的工具，比如Bastille，和带有漂亮颜色与可以点击的按钮的GUI工具，比如KDE的Guarddog。基于浏览器界面的服务器管理系统Webmin也具备iptable的管理能力。甚至有些Linux的发布版本的整个目的就是为了提供一个iptable的GUI前台、一定的配置功能、合理健全的默认配置、路由服务配置界面的整合以及其它常用的网络防火墙设备的功能。

　　我发现如果提供更多的相关知识可以在管理网络与系统安全的iptable方面具备更好的能力，这些基础知识的任务在于让CLI iptable的管理更加简单和容易，这样您可以更好的理解这篇文章的内容。