## 9.6 重点回顾 * 要拥有一部安全的主机，必须要有良好的主机权限设定；随时的更新套件；定期的重要数据备份；完善的员工教育训练。 仅有防火墙是不足够的； * 防火墙最大的功能就是帮助你『限制某些服务的存取来源』，可以管制来源与目标的 IP ； * 防火墙依据封包抵挡的阶层，可以分为 Proxy 以及 IP Filter (封包过滤) 两种类型； * 在防火墙内，但不在 LAN 内的服务器所在网域，通常被称为 DMZ (非军事区)，如[图 9.1-4](#fig9.1-4)所示； * 封包过滤机制的防火墙，通常至少可以分析 IP, port, flag (如 TCP 封包的 SYN), MAC 等等； * 防火墙对于病毒的抵挡并不敏感； * 防火墙对于来自内部的网络误用或滥用的抵挡性可能较不足； * 并不是架设防火墙之后，系统就一定很安全！还是需要更新套件漏洞以及管制使用者及权限设定等； * 核心 2.4 以后的 Linux 使用 iptables 作为防火墙的软件； * 防火墙的订定与『规则顺序』有很大的关系；若规则顺序错误，可能会导致防火墙的失效； * iptables 的预设 table 共有三个，分别是 filter, nat 及 mangle ，惯用者为 filter (本机) 与 nat (后端主机)。 * filter table 主要为针对本机的防火墙设定，依据封包流向又分为 INPUT, OUTPUT, FORWARD 三条链； * nat table 主要针对防火墙的后端主机，依据封包流向又分为 PREROUTING, OUTPUT, POSTROUTING 三条链， 其中 PREROUTING 与 DNAT 有关， POSTROUTING 则与 SNAT 有关； * iptables 的防火墙为规则比对，但所有规则都不符合时，则以预设政策 (policy) 作为封包的行为依据； * iptables 的指令列当中，可以下达的参数相当的多，当下达 -j LOG 的参数时，则该封包的流程会被纪录到 /var/log/messages 当中； * 防火墙可以多重设定，例如虽然已经设定了 iptables ，但是仍然可以持续设定 TCP Wrappers ，因为谁也不晓得什么时候 iptables 会有漏洞～或者是规则规划不良！ * * *