防火牆相關概念

　　　　防火牆的種類（從物理角度）

• • • 　　硬體防火牆
    • 　　軟體防火牆

　　　　　　硬體防火牆：在硬體級別實現部分防火牆功能，另一部分功能基於軟體實現，效能高，成本高。

　　　　　　軟體防火牆：應用軟體處理邏輯運行於通用硬體平臺之上的防火牆，效能低，成本低。

iptables防火牆

　　　　iptables防火牆就屬於軟體防火牆，iptables其實不是真正的防火牆，我們可以把它理解成一個客戶端代理，使用者通過iptables這個代理，將使用者的安全設定執行到對應的”安全框架”中，這個”安全框架”才是真正的防火牆，這個框架的名字叫netfilter

netfilter/iptables（下文中簡稱為iptables）組成Linux平臺下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。

　　　　Netfilter是Linux作業系統核心層內部的一個數據包處理模組，它具有如下功能：

• • • 網路地址轉換(Network Address Translate)
    • 資料包內容修改
    • 以及資料包過濾的防火牆功能

　　　　所以說，雖然我們使用service iptables start啟動iptables”服務”，但是其實準確的來說，iptables並沒有一個守護程序，所以並不能算是真正意義上的服務，而應該算是核心提供的功能。