菜鸟成长手册：路由器技术深入剖解

　　具体的细节实现步骤本文不做详述，有兴趣的读者可以查阅相关的Linux资料进行更深一步的学习研究。

　　4、基于IPTable过滤式防火墙

　　网络防火墙用来保护一个网络不受来自另一个网络的攻击，是网络安全环节中进行的一个防御步骤。在路由器中配置IPTable过滤式防火墙，可以对IP数据封包进行规则检查和过滤，保证内网安全。

　　⑴防火墙概述

　　防火墙是一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些数据可以流通，哪些资料无法流通，藉此达到网络安全保护的目的。

　　防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。

　　防火墙依照其运作方式来分类，可以区分为封包过滤式防火墙(Packet Filter)、应用层网关式防火墙(Application-Level Gateway，也有人把它称为Proxy防火墙)、电路层网关式防火墙(Circuit-Level Gateway).其中被广为采用的是封包过滤式防火墙，本文要介绍的iptables防火墙就是属于这一种。

　　封包过滤是最早被实作出来的防火墙技术，它是在TCP/IP四层架构下的IP层中运作.封包过滤器的功能主要是检查通过的每一个IP数据封包，如果其标头中所含的数据内容符合过滤条件的设定就进行进一步的处理，主要的处理方式包含:放行(accept)、丢弃(drop)或拒绝(reject)。要进行封包过滤，防火墙必须要能分析通过封包的来源IP与目的地IP，，还必须能检查封包类型、来源端口号与目的端口号、封包流向、封包进入防火墙的网卡接口、TCP的联机状态等数据。

　　⑵IPtable的原理及实现

　　IPTables是Linux操作系统中的一个管理内核包过滤的工具，它可以添加、插入或删除核心包过滤表(1)中的规则，以实现防火墙功能。

　　一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(M入，添加，删除，修改)、对特定规则的目标动作、匹配数据报条件。

　　基本的语法为:

　　iptables -t table -Operation chain -target match(es)

　　例如，希望添加一个规则，允许所有从任何地方到本地smtp端口的连接:

　　iptables -t filter -A INPUT -ACCEPT -p tcp --dport smtp

　　当然 ，还有其他的对规则进行操作的命令如:清空链表，设置链缺省策略，添加一个用户自定义的链...

　　经过一系列深入的配置后，基本的路由功能器就这样诞生了，当然实际中路由器还有相当多的应用功能，这些都是通过软件开发来逐步深层次实现的，如果你想成为一个嵌入式工程师的话，那这篇文章就算是一个引路人吧，要达到更高的境界，还需要自己刻苦学习研究，一步一步在魔幻般的技术殿堂中自由遨游。

内容导航

• 第1页：菜鸟成长手册：路由器技术深入剖解
• 第2页：菜鸟成长手册：路由器技术深入剖解(2)
• 第3页：菜鸟成长手册：路由器技术深入剖解(3)
• 第4页：菜鸟成长手册：路由器技术深入剖解(4)
• 第5页：菜鸟成长手册：路由器技术深入剖解(5)
• 第6页：菜鸟成长手册：路由器技术深入剖解(6)
• 第7页：菜鸟成长手册：路由器技术深入剖解(7)
• 第8页：菜鸟成长手册：路由器技术深入剖解(8)
• 第9页：菜鸟成长手册：路由器技术深入剖解(9)
• 第10页：菜鸟成长手册：路由器技术深入剖解(10)
• 第11页：菜鸟成长手册：路由器技术深入剖解(11)
• 第12页：菜鸟成长手册：路由器技术深入剖解(12)
• 第13页：菜鸟成长手册：路由器技术深入剖解(13)
• 第14页：菜鸟成长手册：路由器技术深入剖解(14)