一、Linux中的网络防火墙是由netfilter/iptables网络架构实现的包过滤防火墙,它可是实现硬件防火墙的常用功能,可以代替硬件防火墙在应用方案中。squid是一款开源的软件,它实现了HTTP与FTP代理。
二、应用层代理:
典型的应用层代理为HTTP与FTP代理,局域网中的所有主机都可以使用代理服务器顺利完成对网络web和FTP服务器的访问,能够解决局域网主机访问广域网时出现的公网IP地址不足和带宽不够的问题。
常用的代理服务器可以解决以下问题:
1、局域网中所有主机都可以通过同一局域网中具有互联网访问能力的代理服务器主机进行外部网络的访问。
2、代理服务器对已经访问过的内容提供缓存。可有效的减少对外部网络的访问流量并提高频繁访问页面的访问效率。
3、通过代理服务器可以进行一定程度的访问控制,可以对客户端和被访问页面进行控制。
三、网络层防火墙:
网络层防火墙具备以下功能:
1、对进入和流出的IP数据包进行过滤,屏蔽不符合要求的数据包,保证网络内部安全。
2、提供数据包的路由选择,实现网络地址转换NAT从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。
TIPs:网络防火墙与代理服务器不足之处在于防火墙没有缓存功能,因此不能够节约带宽和提高访问速度。
四、iptables基本原理:
1、nefilter与iptables
Linux网络防火墙的管理与配置必须明确以下两个概念:
1)Linux包过滤防火墙功能是由Linux内核实现的而不是运行在Linux系统中的某个服务器程序实现的,在linux内核中是使用netfitler架构实现的。
2)iptables的管理工作主要是防火墙策略的设定。
2、iptables规则表与规则链:
1)iptables规则链:
iptables作用在于为netfilter处理相应的规则,如果某个数据包与规则相匹配,则所确定ACCEPT允许通过,反之则REJECT阻塞或者拒绝。
iptables有5条规则链分别是:
PREROUTING FORWARD POSTROUTING INPUT OUTPUT
2)iptables规则表:
iptables规则链组织在三个不同的规则表中:
filter nat mangle
filter:INPUT FORWARD  OUTPUT
nat:PREROUTING POSTROUTING OUTPUT
mangle:PREROUTING POSTROUTING INPUT OUTPUT FORWARD
主机的安全性主要集中在filter表中的INPUT和OUTPUT规则链中。