防火墙的发展

10.1.2　防火墙的发展

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统后，便提出了防火墙的概念，防火墙技术得到了飞速的发展。新一代的防火墙功能更强大、安全性更强，可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击和邮件攻击等，所以防火墙对一个企业的网络安全来说有着非常重要的作用。防火墙现在已成为各企业网络中实施安全保护的核心。

Linux中实现包过滤功能的防火墙可分为以下四代。

（1）第一代的Linux内核1.1版本，所使用的Alan Cos是从BSD UNIX中移植过来的Ipfw。

（2）在2.0版的内核中，Jos Vos和其他一些程序员对Ipfw进行了扩展，并且添加了Ipfwadm用户工具。Ipfwadm程序包提供了建立规则的能力，根据这些规则来确定允许什么样的包进出本网络。防火墙可定义的安全策略有两个：一切未被允许的都被禁止和一切未被禁止的都被允许。第一个策略的安全性明显高于第二个策略，但它是以牺牲灵活性和可访问资源为代价来提高安全性的。Ipfwadm系统同样提供IP封装，它允许用户使用Internet上的一个公共IP地址空间。

（3）1999年，在第一个稳定的2.2.0内核中Russell和Michael Neuling做了一些非常重要的改进，即在内核中Russell添加了帮助用户控制过滤规则的Ipchains工具。Linux内核2.2中提供的Ipchains，通过4类防火墙规则列表来提供防火墙规则控制。这些列表称为“防火墙链”。它们分别是IP input（IP输入）链、IP out（IP输出）链、IP forward（IP转发）链和user defined（用户定义）链，一个链实际上就是一个规则表。

（4）2001年，2.4内核完成，Russell完成了其名为“Netfilter”的内核框架。Netfilter/iptables已经包含在2.4以后的内核中，它可以实现防火墙、NAT和数据包的分割等功能。Netfilter/iptables是从ipchains和Ipwadfm演化来的。