## 9.6 重點回顧 * 要擁有一部安全的主機，必須要有良好的主機權限設定；隨時的更新套件；定期的重要數據備份；完善的員工教育訓練。 僅有防火墻是不足夠的； * 防火墻最大的功能就是幫助你『限制某些服務的存取來源』，可以管制來源與目標的 IP ； * 防火墻依據封包抵擋的階層，可以分為 Proxy 以及 IP Filter (封包過濾) 兩種類型； * 在防火墻內，但不在 LAN 內的服務器所在網域，通常被稱為 DMZ (非軍事區)，如[圖 9.1-4](#fig9.1-4)所示； * 封包過濾機制的防火墻，通常至少可以分析 IP, port, flag (如 TCP 封包的 SYN), MAC 等等； * 防火墻對于病毒的抵擋并不敏感； * 防火墻對于來自內部的網絡誤用或濫用的抵擋性可能較不足； * 并不是架設防火墻之后，系統就一定很安全！還是需要更新套件漏洞以及管制使用者及權限設定等； * 核心 2.4 以后的 Linux 使用 iptables 作為防火墻的軟件； * 防火墻的訂定與『規則順序』有很大的關系；若規則順序錯誤，可能會導致防火墻的失效； * iptables 的預設 table 共有三個，分別是 filter, nat 及 mangle ，慣用者為 filter (本機) 與 nat (后端主機)。 * filter table 主要為針對本機的防火墻設定，依據封包流向又分為 INPUT, OUTPUT, FORWARD 三條鏈； * nat table 主要針對防火墻的后端主機，依據封包流向又分為 PREROUTING, OUTPUT, POSTROUTING 三條鏈， 其中 PREROUTING 與 DNAT 有關， POSTROUTING 則與 SNAT 有關； * iptables 的防火墻為規則比對，但所有規則都不符合時，則以預設政策 (policy) 作為封包的行為依據； * iptables 的指令列當中，可以下達的參數相當的多，當下達 -j LOG 的參數時，則該封包的流程會被紀錄到 /var/log/messages 當中； * 防火墻可以多重設定，例如雖然已經設定了 iptables ，但是仍然可以持續設定 TCP Wrappers ，因為誰也不曉得什么時候 iptables 會有漏洞～或者是規則規劃不良！ * * *