Linux防火墙iptables的使用环境

一 保护iptables本身所在的机器

iptable的一个主要功能就是保护自身所在的主机安全，iptables在Linux主机自身防护中的位置如下图：

 

从图可以看出，Linux主机本身和互联网交换的过程：Linux首先要经过自身iptables防护墙的第一层安全过滤，然后经过硬件防火墙的第二层过滤，最终达到互联网，数据从互联网返回的过程也要经过两层防火墙的过滤。因此，可以说Linux自身的iptables的防火墙是系统安全的最后一道防线。

 

二 独立的Linux主机对整个网络进行防护

iptables除了可以作为Linux自身的防火墙外，也可以架设在Linux路由器上对整个网络进行安全防护，如下图：

从图中可以看出，Linux作为独立的防火墙系统，处于外网和局域网之间，由于防火墙架设在路由器上面，因此可以对进入局域网的所有数据包进行过滤处理，同时也可以对局域网内主机进行访问限制。所以，只有设置合理、严格的Linux iptables过滤规则，就能抵制互联网不良信息的入侵，保护局域网的安全。

 

三 多台Linux主机对LAN进行多层安全防护

Linux作为防火墙对局域网内部的防火相对较弱，因为内部是受信任的区域。然而，有时候在局域网内部有非常重要的资料或者保密部门，单纯的一个局域网无法满足安全需求。此时就需要对安全等级进行分类，在这个局域网内划分出子网，同时在子网前再架设一道Linux防火墙，然后将安全部门或者保密资料放到这个子网内，子网通过第二道Linux防火墙设置了更高的安全等级，保证了数据的安全。如下图：

 

四 对DMZ进行安全防护

DMZ俗称非军事区。DMZ可以理解为一个不同于外网或内网的特殊网络区域，重点在保护服务器本身。DMZ区域将互联网与局域网隔离开来，通常放置一些不含机密信息的服务器，比如，Web、数据库、FTP等服务器，这样来自外网的访问者可以通过Linux防火墙访问DMZ中的服务，无论是DMZ中服务器受到破坏，或者局域网遭受攻击，都不会影响另外一部分网络。基本拓扑如下图。

通过上图，DMZ区域与局域网是独立存在的，DMZ区域的服务器都是直接连接到外网区域的交换机上，然后通过LInux防火墙与互联网进行交互。这种网络构架，一方面保护了服务器的安全，另一方面，即使DMZ被黑客攻破，局域网的信息也不会泄露。