第2章　Linux网络防火墙

网络防火墙（Network Firewall）是一种网络安全系统，它监控并依据预定义的规则控制进入和外发的网络流量。

对于服务器系统来说，按照纵深防御的原则，使用网络防火墙进行防护是除了保障物理安全之外必须实施的控制措施。

在诸多相关信息安全规范和指南中也特别强调网络控制的实践。例如，在《ISO/IEC 27001：2005信息安全管理体系规范与使用指南》的“A.10.6.1网络控制的控制措施”中指出，应确保网络充分的管理和控制，以防范威胁、保护使用网络的系统和应用维护安全，包括传输的信息。

本章将介绍网络防火墙的基本原理，并讲解利用iptables、Cisco防火墙、TCP Wrappers和DenyHosts构筑网络防护措施的技术。接下来介绍在公有云上实施网络安全控制的措施以及使用堡垒机进一步加强网络安全的实践。随后介绍分布式拒绝服务攻击（Distributed Denial of Service，DDoS）的防护措施。在本章的最后部分将介绍局域网中ARP欺骗攻击的模型和防御方案。