1、什么是防火墻
防火墻是一套能夠在兩個或兩個以上的網絡之間，明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡，可以透過封包轉送技術來相互通訊，透過防火墻的安全管理機制，可以決定哪些數據可以流通，哪些資料無法流通，藉此達到網絡安全保護的目的。
防火墻產品可以概略歸類為硬件式防火墻和軟件式防火墻，但實際上無論是硬件式或軟件式防火墻，它們都需要使用硬件來作為聯機介接，也需要使用軟件來設定安全政策，嚴格說兩者間的差別并不太大。我們只能從使用的硬件與操作系統來加以區分，硬件式防火墻是使用專有的硬件，而軟件式防火墻則使用一般的計算機硬件，硬件式防火墻使用專有的操作系統，而軟件式防火墻則使用一般的操作系統。
防火墻依照其運作方式來分類，可以區分為封包過濾式防火墻 (Packet Filter) 、應用層網關式防火墻 (Application-Level Gateway，也有人把它稱為 Proxy 防火墻)、電路層網關式防火墻 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火墻，本文要介紹的 iptables 防火墻就是屬于這一種。
封包過濾是最早被實作出來的防火墻技術，它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包，如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理，主要的處理方式包含：放行（aclearcase/" target="_blank" >ccept）、丟棄（drop）或拒絕（reject）。要進行封包過濾，防火墻必須要能分析通過封包的來源 IP 與目的地 IP，還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火墻的網卡接口、TCP的聯機狀態等數據。
防火墻由于種種理由價格一直居高不下，對于貧窮的中小學來講要采購一臺防火墻，簡直是不可能的任務，而由于 Linux 的風行，使用 Linux 來充作軟件式防火墻，似乎是不錯的解決之道，本文擬介紹以 Linux 上最新最強大的 iptables 防火墻軟件，建置出適合學校使用的過濾規則，讓缺錢的學校能有一套好用的防火墻來看守校園網絡的大門。

原文轉自：http://www.kjueaiud.com