9.2. 什么是防火墙？

防火墙是一台安全且可信的机器，位于私有网络和公共网络之间。[1] 防火墙机器配置了一组规则，用于确定哪些网络流量将被允许通过，哪些将被阻止或拒绝。在一些大型组织中，您甚至可能在他们的企业网络内部找到防火墙，以将组织的敏感区域与其他员工隔离。许多计算机犯罪案例发生在组织内部，而不仅仅是来自外部。

防火墙可以通过多种方式构建。最复杂的布置涉及多台独立的机器，被称为隔离区网络。两台机器充当“过滤器”，称为扼制器，以仅允许特定类型的网络流量通过，并且在这些扼制器之间驻留着网络服务器，例如邮件网关或万维网代理服务器。这种配置非常安全，并且可以轻松地对谁可以从内部连接到外部以及从外部连接到内部进行广泛的控制。大型组织可能会使用这种配置。

然而，通常情况下，防火墙是执行所有这些功能的单台机器。这些防火墙安全性稍差，因为如果防火墙机器本身存在某些弱点，允许人们访问它，那么整个网络安全就会被破坏。尽管如此，这些类型的防火墙比刚刚描述的更复杂的布置更便宜且更易于管理。图 9-1 说明了两种最常见的防火墙配置。

Linux 内核提供了一系列内置功能，使其可以很好地充当 IP 防火墙。网络实现包括以多种不同方式执行 IP 过滤的代码，并提供了一种机制来相当准确地配置您想要制定的规则类型。Linux 防火墙足够灵活，使其在图 9-1 中说明的任何一种配置中都非常有用。Linux 防火墙软件提供了另外两个有用的功能，我们将在单独的章节中讨论：IP 记帐（第 10 章）和 IP 地址伪装（第 11 章）。