《鸟哥linux2》-阅读摘要-第11章-linux防火墙与Nat主机

防火墙分硬件防火墙和软件防火墙两类。软件防火墙又可分为代理服务器（Proxy）以及Ip Filter两大类。代理服务器仅是代理Client端向Internet请求数据。由于Proxy其实已经将可代理的协议限制得很少，并且由于内部与外部计算机不能直接互通，所以可以实现良好的保护效果。而IP Filter，利用数据包过滤的方式实现防火墙的功能。

防火墙的一般部署，可以单一的linux防火墙主机，可以单一linux防火墙主机再加LAN内另设的防火墙（因为LAN也不安全有时候，比如特殊部门需要特别照顾，外来的访客的移动装置等），可以在防火墙后端的主机设置（DMZ，非军事区，架设mail，www，ftp等，无论那边有问题都保证这一区域的安全）。

但是值得注意的是，防火墙不能有效阻止病毒或木马成语。比如WWW服务，必须开放端口（一般是80），mail服务也必须开放一个端口（一般是25），否则不起作用。如果这些服务的数据包本来就是病毒，那防火墙一点办法也没有。对于LAN内的攻击也没办法。

iptables，设定了不同的规则，来过滤。注意这些规则是有顺序的。一般有三个表格：管理本机进出的filter，管理后端主机的NAT，管理特殊标记的mangle。这部分没细看。。可以对ip啊，port啊，或者针对tcp，udp来进行设置等。

除了iptables这个防火墙软件外，还有其他默认的攻击阻止机制。

如/proc/sys/net/ipv4/tcp_syncookies，前面讲到的Dos，就可以启动SYN Cookie。当主机发送SYN/ACK确认数据包钱，会要求Client端在短时间内回复一个序号，包括原SYN的一些信息，如IP，port等，若Client可以回复正确的序号，则确认数据包可信，因此发送SYN/ACK数据包，否则不理会。通过这个机制可以大大降低无效的SYN等待端口，避免SYN Flooding的DoS攻击。但是它违反了TCP的3次握手规则，所以可能会造成某些服务的延迟，并且也不适合在负载已经很高的服务器内。