什么是防火墙？真的是不怕火的墙吗？
一、防火墙的概念
防火墙（Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993 年创造并引进国际互联网（US5606668（A）1993-12-15）。

它是一种坐落内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，按照特定的规矩，答应或是约束传输的数据通过。
在网络的国际里，要由防火墙过滤的便是承载通信数据的通信包。

在网络中，所谓“防火墙”，是指一种将内部网和大众访问网（如Internet）分隔的办法，它实践上是一种阻隔技能。防火墙是在两个网络通讯时执行的一种访问操控尺度，它能答应你“同意”的人和数据进入你的网络，一起将你“不同意”的人和数据拒之门外，最大极限地阻挠网络中的黑客来访问你的网络。换句话说，假如不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。
二、防火墙的发展进程
防火墙从诞生开端，已阅历了四个发展阶段：

依据路由器的防火墙
用户化的防火墙东西套
树立在通用操作系统上的防火墙
具有安全操作系统的防火墙
现阶段常见的防火墙归于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。
三、防火墙的根本类型
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议仓库上。能够以枚举的方式只答应符合特定规矩的封包通过，其他的一概制止穿越防火墙（病毒除外，防火墙不能避免病毒侵入）。这些规矩一般能够经由办理员界说或修正，不过某些防火墙设备或许只能套用内置的规矩。

使用层防火墙
使用层防火墙是在 TCP/IP 仓库的“使用层”上运作，您运用浏览器时所发生的数据流或是运用 FTP 时的数据流都是归于这一层。使用层防火墙能够阻拦进出某使用程序的一切封包，并且封锁其他的封包（一般是直接将封包丢掉）。理论上，这一类的防火墙能够完全阻绝外部的数据流进到受维护的机器里。
数据库防火墙
数据库防火墙是一款依据数据库协议剖析与操控技能的数据库安全防护系统。依据自动防护机制，完成数据库的访问行为操控、风险操作阻断、可疑行为审计。数据库防火墙通过SQL协议剖析，依据预界说的制止和答应战略让合法的SQL操作通过，阻断不合法违规操作，构成数据库的外围防护圈，完成SQL风险操作的自动防备、实时审计。数据库防火墙面临来自于外部的入侵行为，供给SQL注入制止和数据库虚拟补丁包功用。

四、Linux 防火墙
Linux 防火墙在企业使用中十分有用，举例如下：

中小企业与网吧里有iptables 作为企业的NAT路由器，能够用来替代传统路由器，而节省本钱。
IDC机房一般没有硬件防火墙，IDC机房的服务器能够用Linux 防火墙替代硬件防火墙。
iptables 能够结合squid 作为企业内部上网的通明署理。传统署理需要在浏览器里装备署理服务器信息，而iptables+squid 的通明署理则能够把客户端的恳求重定向到署理服务器的端口。客户端不要作任何设置，而感觉不到署理的存在。
将iptables 作为企业NAT 路由器时，能够运用iptables 的扩展模块屏蔽P2P 流量，还能够制止不合法网页。
iptables 能够用于外网IP 向内网IP 映射。
iptables 能够轻松避免轻量级DOS 进犯，比如ping 进犯及SYN 洪水进犯。
总述，Iptables 有两种使用模式：主机防火墙，NAT路由器。

五、防火墙的根本原理
对应下图的字节传输流程，能够分为以下几层：

包过滤（Packet filtering）：作业在网络层，仅依据数据包头中的IP地址、端口号、协议类型等标志确认是否答应数据包通过。
使用署理（Application Proxy）：作业在使用层，通过编写不同的使用署理程序，完成对使用层数据的检测和剖析。
状况检测（Stateful Inspection）：作业在2~4层，访问操控方式与1同，但处理的对象不是单个数据包，而是整个衔接，通过规矩表和衔接状况表，归纳判别是否答应数据包通过。
完全内容检测（Compelete Content Inspection）：作业在2~7层，不只剖析数据包头信息、状况信息，而且对使用层协议进行复原和内容剖析，有效防备混合型安全威胁。
六、Netfilter 与 iptables
Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙结构，该结构既简练又灵敏，可完成安全战略使用中的许多功用，如数据包过滤、数据包处理、地址假装、通明署理、动态网络地址转换(Network Address Translation，NAT)，以及依据用户及媒体访问操控(Media Access Control，MAC)地址的过滤和依据状况的过滤、包速率约束等。Iptables/Netfilter的这些规矩能够通过灵敏组合，构成十分多的功用、包括各个方面，这一切都得益于它的优秀设计思维。Netfilter/Iptables 数据包过滤系统能够当成一个整体，netfilter是内核的模块完成，iptables是对上层操作东西。

假如不严格的区别则在Linux中 netfilter 和 iptables 都能够认为是指Linux防火墙。

实践 Iptables 是一个办理内核包过滤的东西，能够用来装备核心包过滤表格中的规矩。运行于用户空间。

区别在于：netfilter 是 Linux的2.4版内核引进了一种全新的包过滤引擎，称为Netfilter。指的是Linux内核中完成包过滤防火墙的内部结构，不以程序或文件的方式存在，归于“内核态”的防火墙功用系统。iptables指的是用来办理Linux防火墙的指令程序，一般坐落/sbin/iptables，归于“用户态”的防火墙办理系统。iptables是操控Netfilter的东西，是Linux 2.2版内核中比较老的指令ipchains的兄弟。

Netfilter 所设置的规矩是存放在内核内存中的，而 iptables 是一个使用层的使用程序，它通过 Netfilter 放出的接口来对存放在内核内存中的 XXtables（Netfilter的装备表）进行修正。这个XXtables由表tables、链chains、规矩rules组成，iptables在使用层担任修正这个规矩文件。类似的使用程序还有 firewalld 。

iptables 和 netfilter 的联络？

许多人一提到防火墙立马就想到了是iptables，其实iptables并不是防火墙，他仅仅一个软件或许说是一个东西，这个软件能够编写某些规矩，将写好的规矩保存到netfilter的规矩数据库中。因此，真实起到"防火"的功用是netfilter，并不是iptables。（欢迎重视大众号：网络工程师阿龙）netfilter是内核中的一个结构，这个结构里边包含了4个表和5个链，这些链又包含了许多的规矩。而数据包要比对的规矩便是这个链中所界说的规矩。

在下述的内容中我们就以iptables来称号Linux防火墙了。
七、防火墙的性能
吞吐量：该指标直接影响网络的性能，吞吐量 时延：入口处输入帧最后1个比特抵达至出口处输出帧的第1个比特输出所用的时间距离 丢包率：在稳态负载下，应由网络设备传输，但由于资源缺少而被丢掉的帧的百分比 背靠背：（欢迎重视大众号：网络工程师阿龙）从空闲状况开端，以到达传输介质最小合法距离极限的传输速率发送适当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数并发连结数：并发衔接数是指穿越防火墙的主机之间或主机与防火墙之间能一起树立的最大衔接数

八、防火墙的局限性
防火墙虽然是维护网络安全的基础性设备，但是它还存在着一些不易防备的安全威胁：首要防火墙不能防备未通过防火墙或绕过防火墙的进犯。例如，假如答应从受维护的网络内部向外拨号，一些用户就或许构成与Internet 的直接衔接。防火墙依据数据包包头信息的检测阻断方式，主要对主机供给或恳求的服务进行访问操控，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或许黑客进犯的解决方案。另外，防火墙很难防备来自于网络内部的进犯或乱用。