第2章　Linux網絡防火墻

網絡防火墻（Network Firewall）是一種網絡安全系統，它監控并依據預定義的規則控制進入和外發的網絡流量。

對于服務器系統來說，按照縱深防御的原則，使用網絡防火墻進行防護是除了保障物理安全之外必須實施的控制措施。

在諸多相關信息安全規范和指南中也特別強調網絡控制的實踐。例如，在《ISO/IEC 27001：2005信息安全管理體系規范與使用指南》的“A.10.6.1網絡控制的控制措施”中指出，應確保網絡充分的管理和控制，以防范威脅、保護使用網絡的系統和應用維護安全，包括傳輸的信息。

本章將介紹網絡防火墻的基本原理，并講解利用iptables、Cisco防火墻、TCP Wrappers和DenyHosts構筑網絡防護措施的技術。接下來介紹在公有云上實施網絡安全控制的措施以及使用堡壘機進一步加強網絡安全的實踐。隨后介紹分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）的防護措施。在本章的最后部分將介紹局域網中ARP欺騙攻擊的模型和防御方案。