《Linux防火牆（第4版）》——導讀

**

前言

歡迎閱讀本書。本書介紹了在運作linux的計算機上建立防火牆所需要的各方面内容。在開始介紹linux下的防火牆iptables以及最新的nftables之前，本書會介紹一些基礎的内容，包括網絡、ip以及安全。

本書是建構linux防火牆的權威指南，包括如何使用linux iptables/nftables來實作防火牆安全的主題。本書共分三大部分。第1部分為資料包過濾以及基本的安全措施，其内容有：資料包過濾防火牆的預備知識、資料包過濾防火牆概念、傳統的linux防火牆管理程式iptables、新的linux防火牆管理程式nftables、建構和安裝獨立的防火牆。第2部分為linux防火牆的進階主題、多個防火牆和網絡防護帶，其内容有：防火牆的優化、資料包轉發、nat、調試防火牆規則、虛拟專用網絡。第3部分則講解了iptables和nftables之外的主題，包括入侵檢測和響應、入侵檢測工具、網絡監控和攻擊檢測、檔案系統完整性等内容。

本書的讀者應該使用一台運作着linux的計算機，不論該計算機是單機的還是作為防火牆亦或是作為網際網路網關。本書講解了如何為單一的計算機例如台式主機建構防火牆，同時也展示了如何為可以托管多台計算機的本地網絡建構防火牆。

本書最後的部分介紹了除iptables和nftables之外的計算機和網絡安全相關的因素。這部分包括了入侵檢測、檔案系統監控以及監聽網絡流量。本書很大程度上是與linux版本無關的，這意味着任何流行的linux發行版都可以使用書中的内容，隻需要很小的調整或無須調整。

**[第1部分 資料包過濾以及基本安全措施

第1章 資料包過濾防火牆的預備知識

1.1.1　面向連接配接和無連接配接的協定

1.1.2　下一步

<a href="https://yq.aliyun.com/articles/98529">1.2　ip協定</a>

1.2.1　ip編址和子網劃分

1.2.2　ip分片

1.2.3　廣播與多點傳播

1.2.4　icmp

<a href="https://yq.aliyun.com/articles/98530">1.3　傳輸層機制</a>

1.3.1　udp

1.3.2　tcp

<a href="https://yq.aliyun.com/articles/98531">1.4　位址解析協定（arp）</a>

<a href="https://yq.aliyun.com/articles/98532">1.5　主機名和ip位址</a>

1.5.1　ip位址和以太網位址

<a href="https://yq.aliyun.com/articles/98533">1.6　路由：将資料包從這裡傳輸到那裡</a>

<a href="https://yq.aliyun.com/articles/98534">1.7　服務端口：通向您系統中程式的大門</a>

1.7.1　一個典型的tcp連接配接：通路遠端站點

<a href="https://yq.aliyun.com/articles/98535">1.8　小結</a>

**[第2章 資料包過濾防火牆概念

<a href="https://yq.aliyun.com/articles/98583">2.2　選擇一個預設的資料包過濾政策</a>

<a href="https://yq.aliyun.com/articles/98585">2.3　對一個資料包的駁回（rejecting）vs拒絕（denying）</a>

<a href="https://yq.aliyun.com/articles/98586">2.4　過濾傳入的資料包</a>

2.4.1　遠端源位址過濾

2.4.2　本地目的位址過濾

2.4.3　遠端源端口過濾

2.4.4　本地目的端口過濾

2.4.5　傳入tcp的連接配接狀态過濾

2.4.6　探測和掃描

2.4.7　拒絕服務攻擊

2.4.8　源路由資料包

<a href="https://yq.aliyun.com/articles/98587">2.5　過濾傳出資料包</a>

2.5.1　本地源位址過濾

2.5.2　遠端目的位址過濾

2.5.3　本地源端口過濾

2.5.4　遠端目的端口過濾

2.5.5　傳出tcp連接配接狀态過濾

<a href="https://yq.aliyun.com/articles/98588">2.6　私有網絡服務vs公有網絡服務</a>

2.6.1　保護不安全的本地服務

2.6.2　選擇運作的服務

<a href="https://yq.aliyun.com/articles/98589">2.7　小結</a>