中小企业自建Linux防火墙(1)

　　防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力，系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙，用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包，无须花费额外资金购买专门的防火墙产品，比较适用于某些中小企业或部门级用户。

　　一、防火墙的类型和设计策略

　　在构造防火墙时，常采用2种方式，包过滤和应用代理服务。包过滤是指建立包过滤规则，根据这些规则及IP包头的信息，在网络层判定允许或拒绝包的通过。如允许或禁止FTP的使用，但不能禁止FTP特定的功能（例如Get和Put的使用）。应用代理服务是由位于内部网和外部网之间的代理服务器完成的，它工作在应用层，代理用户进、出网的各种服务请求，如FTP和Telenet等。

　　目前，防火墙一般采用双宿主机（Dual-homed Firewall）、屏蔽主机(Screened Host Firewall)和屏蔽子网(Screened Subnet Firewall)等结构。双宿主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连。屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中，即添加了周边网络，进一步把内部网和外部网隔开。

　　防火墙规则用来定义哪些数据包或服务允许/拒绝通过，主要有2种策略。一种是先允许任何接入，然后指明拒绝的项; 另一种是先拒绝任何接入，然后指明允许的项。一般地，我们会采用第2种策略。因为从逻辑的观点看，在防火墙中指定一个较小的规则列表允许通过防火墙，比指定一个较大的列表不允许通过防火墙更容易实现。从Internet的发展来看，新的协议和服务不断出现，在允许这些协议和服务通过防火墙之前，有时间审查安全漏洞。

　　二、基于Linux操作系统防火墙的实现

　　基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面，让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。