提示：防火墙是提供网络安全性的重要手段之一，RedHat6.1提供了用于实现过滤型防火墙的工具包--ipchains。实现防火墙的策略一般有两种：在第一种方式下，首先允许所有的包，然后在禁止有危险的包通过防火墙；第二种方式则相反，首先禁止所有的包，然后再根据所需要的服务允许特定的包通过防火墙。相比较而言，第二种方式更能保证网络的安全性。但对于第二种方式，要求使用者知道Server/Client交互的基本原理和特定服务所对应的具体端口。本文将从一个具体的实列出发，讨论怎样采用第二种方式构建企业的防火墙系统。

　　一、Server/Client的交互原理

　　首先让我们看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

　　举一个具体的例子：假设网络中有一台服务器A（IP地址为a.b.c.1)提供WWW服务，另有客户机B(a.b.c.4)、C(a.b.c.7)。首先，服务器A运行提供WWW服务的后台程序（比如Apache）并且把该服务绑定到端口80，也就是说，在端口80进行监听。当B发起一个连接请求时,B将打开一个大于1024的连接端口(1024内为已定义端口）,假设为1037。A在接收到请求后，用80端口与B建立连接以响应B的请求，同时产生一个80端口绑定的拷贝，继续监听客户端的请求。假如A又接收到C的连接请求（设连接请求端口为1071），则A在与C建立连接的同时又产生一个80端口绑定的拷贝继续监听客户端的请求。如下所示，每个连接都是唯一的。

　　服务器 客户端
　　连接1：a.b.c.1:80 〈=〉 a.b.c.4:1037
　　连接2：a.b.c.1:80 〈=〉 a.b.c.7:1071

　　二、服务端口

　　每一种特定的服务都有自己特定的端口，一般说来小于1024的端口多为保留端口，或者说是已定义端口，低端口分配给众所周知的服务（如WWW、FTP等等），从512到1024的端口通常保留给特殊的UNIX TCP/IP应用程序，具体情况请参考/etc/services文件或RFC1700。

　　三、网络环境

　　假设网络环境如下：某一单位，租用DDN专线上网，网络拓扑如下：

　　　　+--------------+

　　　　| 内部网段     |        eth1+--------+eth0 DDN

　　　　|              +------------|firewall|〈===============〉Internet

　　　　| 198.168.80.0 |            +--------+

　　　　+--------------+

　　　　eth0: 198.199.37.254
　　　　eth1: 198.168.80.254

　　以上的IP地址都是Internet上真实的IP，故没有用到IP欺骗。并且，我们假设在内部网中存在以下服务器：

　　dns服务器：dns.yourdomain.com 由firewall兼任
　　www服务器：www.yourdomain.com 198.168.80.11
　　ftp服务器：ftp.yourdomain.com 198.168.80.12
　　bbs服务器：bbs.yourdomain.com 198.168.80.13
　　email服务器：mail.yourdomain.com 198.168.80.14

　　下面我们将用ipchains一步一步地来建立我们的包过滤防火墙。

推荐文章 ·怎么样给企业级防火墙“体检” ·构建Linux系统下U盘路由器、防火 ·安全基础：防火墙功能指标详解 ·没有防火墙是可行的 但是并不理 ·2005年度千兆防火墙公开比较评测 ·没有防火墙的安全:明智还是愚蠢? ·使用防火墙封阻应用攻击的八项技 ·防火墙与路由器的安全性比较 ·防火牆安全管理 ·netfilter: Linux 防火墙在内核 ·再谈防火墙及防火墙的渗透 ·一种新的穿透防火墙的数据传输技