基于Linux系统的包过滤防火墙(3)

　　（2）缺点：

　　→一些包过滤网关不支持有效的用户认证。

　　→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。

　　→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。

　　→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

　　→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。

　　虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。

　　1.2　Netfilter/iptables架构

　　1.2.1 Linux下的包过滤防火墙管理工具

　　从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段：

　　→ 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。

　　→ 在2.2的内核中，采用ipchains来控制内核包过滤规则。

　　→ 在2.4内核中，采用一个全新的内核包过滤管理工具—iptables.

　　Linux因其健壮性、可靠性、灵活性以及几乎无限范围的可定制性而在IT界变得非常受欢迎。Linux具有许多内置的能力，使开发人员可以根据自己的需要定制其工具、行为和外观，而无需昂贵的第三方工具。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，所要用到的一种内置能力就是针对网络上Linux系统的防火墙配置。可以在Netfilter/iptables IP信息包过滤系统（它集成在2.4.x版本的Linux内核中）的帮助下运用这种能力。Netfilter/iptables是与最新的2.4.x版本 Linux内核集成的IP信息包过滤系统。

　　与ipfwadm和ipchains这样的Linux信息包过滤方案相比，Netfilter/iptables信息包过滤系统是最新的解决方案，使用户更易于理解其工作原理，也具有更为强大的功能。对于Linux系统管理员、网络管理员以及家庭用户（他们想要根据自己特定的需求来配置防火墙、在防火墙解决方案上节省费用和对IP信息包过滤具有完全控制权）来说，Netfilter/iptables系统十分理想，且更容易被使用。