防火墙简介

    防火墙可以分为硬件防火墙和软件防火墙，硬件防火墙是由厂商设计好的，这种类型的防火墙的操作系统的主要功能就是实现数据包的过滤，由于它将这种功能软件集成在ASIC芯片里，因此，这种防火墙的过滤效果要比软件防火墙的好。不管是哪种类型的防火墙，他们的"防火"原理都是一样的。根据数据包的包头信息与内核中的定义好的规则进行比对，如果包头信息和规则匹配，则执行相应的动作。否则，继续比对下一条规则；如果包头信息与任何一条规则都不匹配，则执行默认策略（或者叫做默认规则也行）。

iptables和netfilter的联系？

很多人一提到防火墙立马就想到了是iptables，其实iptables并不是防火墙，他只是一个软件或者说是一个工具，这个软件可以编写某些规则，将写好的规则保存到netfilter的规则数据库中。因此，真正起到"防火"的功能是netfilter，并不是iptables。netfilter是内核中的一个框架，这个框架里面包含了4个表和5个链，这些链又包含了很多的规则。而数据包要比对的规则就是这个链中所定义的规则。

因此，可以用一句话来概括iptables和netfilter的关系：

iptables将写好的规则保存在netfilter的某些表的某些链中，进而才起到防火墙的功能

本文出自 “linux学习之路” 博客，请务必保留此出处http://xslwahaha.blog.51cto.com/4738972/1569472

防火墙原理详解之iptables