一 保护iptables本身所在的机器
iptable的一个主要功能就是保护自身所在的主机安全,iptables在Linux主机自身防护中的位置如下图:
从图可以看出,Linux主机本身和互联网交换的过程:Linux首先要经过自身iptables防护墙的第一层安全过滤,然后经过硬件防火墙的第二层过滤,最终达到互联网,数据从互联网返回的过程也要经过两层防火墙的过滤。因此,可以说Linux自身的iptables的防火墙是系统安全的最后一道防线。
二 独立的Linux主机对整个网络进行防护
iptables除了可以作为Linux自身的防火墙外,也可以架设在Linux路由器上对整个网络进行安全防护,如下图:
从图中可以看出,Linux作为独立的防火墙系统,处于外网和局域网之间,由于防火墙架设在路由器上面,因此可以对进入局域网的所有数据包进行过滤处理,同时也可以对局域网内主机进行访问限制。所以,只有设置合理、严格的Linux iptables过滤规则,就能抵制互联网不良信息的入侵,保护局域网的安全。
三 多台Linux主机对LAN进行多层安全防护
Linux作为防火墙对局域网内部的防火相对较弱,因为内部是受信任的区域。然而,有时候在局域网内部有非常重要的资料或者保密部门,单纯的一个局域网无法满足安全需求。此时就需要对安全等级进行分类,在这个局域网内划分出子网,同时在子网前再架设一道Linux防火墙,然后将安全部门或者保密资料放到这个子网内,子网通过第二道Linux防火墙设置了更高的安全等级,保证了数据的安全。如下图:
四 对DMZ进行安全防护
DMZ俗称非军事区。DMZ可以理解为一个不同于外网或内网的特殊网络区域,重点在保护服务器本身。DMZ区域将互联网与局域网隔离开来,通常放置一些不含机密信息的服务器,比如,Web、数据库、FTP等服务器,这样来自外网的访问者可以通过Linux防火墙访问DMZ中的服务,无论是DMZ中服务器受到破坏,或者局域网遭受攻击,都不会影响另外一部分网络。基本拓扑如下图。
通过上图,DMZ区域与局域网是独立存在的,DMZ区域的服务器都是直接连接到外网区域的交换机上,然后通过LInux防火墙与互联网进行交互。这种网络构架,一方面保护了服务器的安全,另一方面,即使DMZ被黑客攻破,局域网的信息也不会泄露。