**
前言
**
欢迎阅读本书。本书介绍了在运行Linux的计算机上建立防火墙所需要的各方面内容。在开始介绍Linux下的防火墙iptables以及最新的nftables之前，本书会介绍一些基础的内容，包括网络、IP以及安全。

本书是构建Linux防火墙的权威指南，包括如何使用Linux iptables/nftables来实现防火墙安全的主题。本书共分三大部分。第1部分为数据包过滤以及基本的安全措施，其内容有：数据包过滤防火墙的预备知识、数据包过滤防火墙概念、传统的Linux防火墙管理程序iptables、新的Linux防火墙管理程序nftables、构建和安装独立的防火墙。第2部分为Linux防火墙的高级主题、多个防火墙和网络防护带，其内容有：防火墙的优化、数据包转发、NAT、调试防火墙规则、虚拟专用网络。第3部分则讲解了iptables和nftables之外的主题，包括入侵检测和响应、入侵检测工具、网络监控和攻击检测、文件系统完整性等内容。

本书的读者应该使用一台运行着Linux的计算机，不论该计算机是单机的还是作为防火墙亦或是作为互联网网关。本书讲解了如何为单一的计算机例如台式主机构建防火墙，同时也展示了如何为可以托管多台计算机的本地网络构建防火墙。

本书最后的部分介绍了除iptables和nftables之外的计算机和网络安全相关的因素。这部分包括了入侵检测、文件系统监控以及监听网络流量。本书很大程度上是与Linux版本无关的，这意味着任何流行的Linux发行版都可以使用书中的内容，只需要很小的调整或无须调整。

目录

**[第1部分 数据包过滤以及基本安全措施
第1章 数据包过滤防火墙的预备知识
1.1　OSI网络模型](https://yq.aliyun.com/articles/98528)**
1.1.1　面向连接和无连接的协议
1.1.2　下一步
1.2　IP协议
1.2.1　IP编址和子网划分
1.2.2　IP分片
1.2.3　广播与组播
1.2.4　ICMP
1.3　传输层机制
1.3.1　UDP
1.3.2　TCP
1.4　地址解析协议（ARP）
1.5　主机名和IP地址
1.5.1　IP地址和以太网地址
1.6　路由：将数据包从这里传输到那里
1.7　服务端口：通向您系统中程序的大门
1.7.1　一个典型的TCP连接：访问远程站点
1.8　小结
**[第2章 数据包过滤防火墙概念
2.1　一个数据包过滤防火墙](https://yq.aliyun.com/articles/98582)**
2.2　选择一个默认的数据包过滤策略
2.3　对一个数据包的驳回（Rejecting）VS拒绝（Denying）
2.4　过滤传入的数据包
2.4.1　远程源地址过滤
2.4.2　本地目的地址过滤
2.4.3　远程源端口过滤
2.4.4　本地目的端口过滤
2.4.5　传入TCP的连接状态过滤
2.4.6　探测和扫描
2.4.7　拒绝服务攻击
2.4.8　源路由数据包
2.5　过滤传出数据包
2.5.1　本地源地址过滤
2.5.2　远程目的地址过滤
2.5.3　本地源端口过滤
2.5.4　远程目的端口过滤
2.5.5　传出TCP连接状态过滤
2.6　私有网络服务VS公有网络服务
2.6.1　保护不安全的本地服务
2.6.2　选择运行的服务
2.7　小结