Linux防火墻入門:簡介

前言

　　一旦連上網(wǎng)絡，就充滿各種危機。

　　許多人基于各式各樣的理由，想侵入你的系統(tǒng)，這種人俗稱為 cracker。尤有甚者，近年來，cracker 圈里流行一種結(jié)合病毒行為及系統(tǒng)漏洞的入侵工具，稱為網(wǎng)蟲(Netwrom)，它以類似網(wǎng)絡機器人(robot)的模式，到處掃射咬噬，已形成泛濫。比如：Lion、CodeRed、Nimda 等。現(xiàn)在你只要將一臺新安裝好的Win平臺的機器連上網(wǎng)絡，不消幾分鐘之內(nèi)，即可釣中一堆 CoreRed 或 Nimda 咬噬的封包。

　　傳統(tǒng)上，為了保護自身內(nèi)部網(wǎng)絡的安全，另一方面，也為了可以做 網(wǎng)絡進出交通 的控管，通常所采用的方法是建構一層網(wǎng)絡防火墻系統(tǒng)，在外部網(wǎng)絡和內(nèi)部網(wǎng)絡之間，構筑一道屏障，以做為安全的區(qū)隔，使得特定的封包才能進入我們的內(nèi)部網(wǎng)絡，而將大部份奇奇怪怪的封包，如 Nimda 網(wǎng)蟲掃射的封包，完全隔離在外，但同時，又可允許內(nèi)部網(wǎng)絡的機器自在地對外聯(lián)機，內(nèi)部的使用者上網(wǎng)的行為甚少需要有任何改變。

　　換言之，防火墻系統(tǒng)可區(qū)隔網(wǎng)絡封包，使內(nèi)部網(wǎng)絡中流通的封包十分干凈，更讓網(wǎng)絡管理者在安裝新機器時，比如 NT/W2K，不致于一裝好、連上網(wǎng)絡就中標。單就這點，防火墻系統(tǒng)對校園網(wǎng)絡管理者而言，就十分有價值。

　　不過，防火墻系統(tǒng)十分昂貴，平民百姓及小單位的我們實在買不起，而且其功能也未必就如其所宣稱的那樣足以符合我們的需求。因此許多前賢開始尋找其它替代的方案，在低成本、高效益、彈性大的考量下，使用 FreeBSD/OpenBSD/Linux 來建構小型防火墻系統(tǒng)蔚為流行。甚至許多公司拿 FreeBSD/Linux的防火墻機制為基礎，制造出商用的防火墻系統(tǒng)；國內(nèi)某一知名的防火墻公司，其防火核心即源自于 Linux。

　　什么是網(wǎng)絡防火墻？

　　根據(jù)前述，在此我給防火墻一個簡單的定義 (這是OLS3自己的說法，若有誤謬，請不吝指正)。

　　防火墻 是指一套用來明顯區(qū)隔兩個(或以上)網(wǎng)絡之間的一組軟硬件裝置，使網(wǎng)管人員得以事先制定種種安全規(guī)則，針對網(wǎng)絡交通及安全程度，進行過濾控制和調(diào)整，最大的目的在于防止網(wǎng)絡遭受入侵。

　　防火墻的種類？

　　防火墻大概可以分為以下三種：

　　? 封包過濾式 (Packet Filtering Firewall)
　　? 網(wǎng)關式
　　? 代理式

　　簡單說明如下:

　　所謂封包過濾式防火墻是指：利用操作系統(tǒng)，在 IP 層及傳輸層運作，藉由檢查封包的 IP 表頭，來決定該封包的路由(放行/轉(zhuǎn)向/丟棄/拒絕)，而達到保護自身網(wǎng)絡的功能。本次研習要介紹的防火墻，即屬于封包過濾式的。這種防火墻的優(yōu)點是：效能好、控管性高、成本低廉。

　　所謂網(wǎng)關式防火墻是指：所有外部網(wǎng)絡可以到達的地方，僅止于這臺網(wǎng)關主機，而內(nèi)部網(wǎng)絡的使用者欲連至外部網(wǎng)絡，需要先登入這臺網(wǎng)關主機。

　　所謂代理式防火墻是指：針對每一種應用服務程序，做代理伺服的工作，clietn端的使用者其實是和這臺代理主機連接，而非外部網(wǎng)絡的主機，但卻可使client端的使用者，感覺到他真的在取用外部網(wǎng)絡的主機服務一樣，此種特性，稱為 Proxy。代理式防火墻的優(yōu)點是：可確保資料的完整性，只有特定的服務才會被交換，并可針對其內(nèi)容做過濾防毒，可進行高階的存取控制。
　　現(xiàn)代功能完備的的防火墻，經(jīng)常結(jié)合封包過濾及Proxy代理這二種特性，不過價格相常地高。以中小學校園網(wǎng)絡而言，封包過濾式的防火墻，其實已足敷需要了。