什么是防火墻？真的是不怕火的墻嗎？
一、防火墻的概念
防火墻（Firewall），也稱防護墻，是由Check Point 創立者Gil Shwed于1993 年創造并引進國際互聯網（US5606668（A）1993-12-15）。

它是一種坐落內部網絡與外部網絡之間的網絡安全系統。是一項信息安全的防護系統，按照特定的規矩，答應或是約束傳輸的數據通過。
在網絡的國際里，要由防火墻過濾的便是承載通信數據的通信包。

在網絡中，所謂“防火墻”，是指一種將內部網和大眾訪問網（如Internet）分隔的辦法，它實踐上是一種阻隔技能。防火墻是在兩個網絡通訊時執行的一種訪問操控尺度，它能答應你“同意”的人和數據進入你的網絡，一起將你“不同意”的人和數據拒之門外，最大極限地阻撓網絡中的黑客來訪問你的網絡。換句話說，假如不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。
二、防火墻的發展進程
防火墻從誕生開端，已閱歷了四個發展階段：

依據路由器的防火墻
用戶化的防火墻東西套
樹立在通用操作系統上的防火墻
具有安全操作系統的防火墻
現階段常見的防火墻歸于具有安全操作系統的防火墻，例如NETEYE、NETSCREEN、TALENTIT等。
三、防火墻的根本類型
網絡層防火墻
網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議倉庫上。能夠以枚舉的方式只答應符合特定規矩的封包通過，其他的一概制止穿越防火墻（病毒除外，防火墻不能避免病毒侵入）。這些規矩一般能夠經由辦理員界說或修正，不過某些防火墻設備或許只能套用內置的規矩。

使用層防火墻
使用層防火墻是在 TCP/IP 倉庫的“使用層”上運作，您運用瀏覽器時所發生的數據流或是運用 FTP 時的數據流都是歸于這一層。使用層防火墻能夠阻攔進出某使用程序的一切封包，并且封鎖其他的封包（一般是直接將封包丟掉）。理論上，這一類的防火墻能夠完全阻絕外部的數據流進到受維護的機器里。
數據庫防火墻
數據庫防火墻是一款依據數據庫協議剖析與操控技能的數據庫安全防護系統。依據自動防護機制，完成數據庫的訪問行為操控、風險操作阻斷、可疑行為審計。數據庫防火墻通過SQL協議剖析，依據預界說的制止和答應戰略讓合法的SQL操作通過，阻斷不合法違規操作，構成數據庫的外圍防護圈，完成SQL風險操作的自動防備、實時審計。數據庫防火墻面臨來自于外部的入侵行為，供給SQL注入制止和數據庫虛擬補丁包功用。

四、Linux 防火墻
Linux 防火墻在企業使用中十分有用，舉例如下：

中小企業與網吧里有iptables 作為企業的NAT路由器，能夠用來替代傳統路由器，而節省本錢。
IDC機房一般沒有硬件防火墻，IDC機房的服務器能夠用Linux 防火墻替代硬件防火墻。
iptables 能夠結合squid 作為企業內部上網的通明署理。傳統署理需要在瀏覽器里裝備署理服務器信息，而iptables+squid 的通明署理則能夠把客戶端的懇求重定向到署理服務器的端口?？蛻舳瞬灰魅魏卧O置，而感覺不到署理的存在。
將iptables 作為企業NAT 路由器時，能夠運用iptables 的擴展模塊屏蔽P2P 流量，還能夠制止不合法網頁。
iptables 能夠用于外網IP 向內網IP 映射。
iptables 能夠輕松避免輕量級DOS 進犯，比如ping 進犯及SYN 洪水進犯。
總述，Iptables 有兩種使用模式：主機防火墻，NAT路由器。

五、防火墻的根本原理
對應下圖的字節傳輸流程，能夠分為以下幾層：

包過濾（Packet filtering）：作業在網絡層，僅依據數據包頭中的IP地址、端口號、協議類型等標志確認是否答應數據包通過。
使用署理（Application Proxy）：作業在使用層，通過編寫不同的使用署理程序，完成對使用層數據的檢測和剖析。
狀況檢測（Stateful Inspection）：作業在2~4層，訪問操控方式與1同，但處理的對象不是單個數據包，而是整個銜接，通過規矩表和銜接狀況表，歸納判別是否答應數據包通過。
完全內容檢測（Compelete Content Inspection）：作業在2~7層，不只剖析數據包頭信息、狀況信息，而且對使用層協議進行復原和內容剖析，有效防備混合型安全威脅。
六、Netfilter 與 iptables
Netfilter是由Rusty Russell提出的Linux 2.4內核防火墻結構，該結構既簡練又靈敏，可完成安全戰略使用中的許多功用，如數據包過濾、數據包處理、地址假裝、通明署理、動態網絡地址轉換(Network Address Translation，NAT)，以及依據用戶及媒體訪問操控(Media Access Control，MAC)地址的過濾和依據狀況的過濾、包速率約束等。Iptables/Netfilter的這些規矩能夠通過靈敏組合，構成十分多的功用、包括各個方面，這一切都得益于它的優秀設計思維。Netfilter/Iptables 數據包過濾系統能夠當成一個整體，netfilter是內核的模塊完成，iptables是對上層操作東西。

假如不嚴格的區別則在Linux中 netfilter 和 iptables 都能夠認為是指Linux防火墻。

實踐 Iptables 是一個辦理內核包過濾的東西，能夠用來裝備核心包過濾表格中的規矩。運行于用戶空間。

區別在于：netfilter 是 Linux的2.4版內核引進了一種全新的包過濾引擎，稱為Netfilter。指的是Linux內核中完成包過濾防火墻的內部結構，不以程序或文件的方式存在，歸于“內核態”的防火墻功用系統。iptables指的是用來辦理Linux防火墻的指令程序，一般坐落/sbin/iptables，歸于“用戶態”的防火墻辦理系統。iptables是操控Netfilter的東西，是Linux 2.2版內核中比較老的指令ipchains的兄弟。

Netfilter 所設置的規矩是存放在內核內存中的，而 iptables 是一個使用層的使用程序，它通過 Netfilter 放出的接口來對存放在內核內存中的 XXtables（Netfilter的裝備表）進行修正。這個XXtables由表tables、鏈chains、規矩rules組成，iptables在使用層擔任修正這個規矩文件。類似的使用程序還有 firewalld 。

iptables 和 netfilter 的聯絡？

許多人一提到防火墻立馬就想到了是iptables，其實iptables并不是防火墻，他僅僅一個軟件或許說是一個東西，這個軟件能夠編寫某些規矩，將寫好的規矩保存到netfilter的規矩數據庫中。因此，真實起到"防火"的功用是netfilter，并不是iptables。（歡迎重視大眾號：網絡工程師阿龍）netfilter是內核中的一個結構，這個結構里邊包含了4個表和5個鏈，這些鏈又包含了許多的規矩。而數據包要比對的規矩便是這個鏈中所界說的規矩。

在下述的內容中我們就以iptables來稱號Linux防火墻了。
七、防火墻的性能
吞吐量：該指標直接影響網絡的性能，吞吐量 時延：入口處輸入幀最后1個比特抵達至出口處輸出幀的第1個比特輸出所用的時間距離 丟包率：在穩態負載下，應由網絡設備傳輸，但由于資源缺少而被丟掉的幀的百分比 背靠背：（歡迎重視大眾號：網絡工程師阿龍）從空閑狀況開端，以到達傳輸介質最小合法距離極限的傳輸速率發送適當數量的固定長度的幀，當出現第一個幀丟失時，發送的幀數并發連結數：并發銜接數是指穿越防火墻的主機之間或主機與防火墻之間能一起樹立的最大銜接數

八、防火墻的局限性
防火墻雖然是維護網絡安全的基礎性設備，但是它還存在著一些不易防備的安全威脅：首要防火墻不能防備未通過防火墻或繞過防火墻的進犯。例如，假如答應從受維護的網絡內部向外撥號，一些用戶就或許構成與Internet 的直接銜接。防火墻依據數據包包頭信息的檢測阻斷方式，主要對主機供給或懇求的服務進行訪問操控，無法阻斷通過開放端口流入的有害流量，并不是對蠕蟲或許黑客進犯的解決方案。另外，防火墻很難防備來自于網絡內部的進犯或亂用。