美國服務器的防火墻一般分為硬件防火墻和軟件防火墻，但不管是硬件還是軟件防火墻它們都需要使用硬件來作為聯(lián)機介質，也需要使用軟件來設定安全政策，因此可以從使用的硬件與操作系統(tǒng)來加以區(qū)分。硬件防火墻是使用專有硬件，而軟件防火墻則使用一般硬件。硬件防火墻使用專有的操作系統(tǒng)，而軟件防火墻則使用一般的操作系統(tǒng)。

美國服務器防火墻還可以根據(jù)工作的方式來分類，一般分為封包過濾式防火墻、應用層網(wǎng)關防火墻，也稱 Proxy防火墻兩種。其中被廣為采用的是封包過濾式防火墻，本文要介紹的iptables防火墻就是屬于這一種，下面就來詳細介紹一下。

iptables是 Linux系統(tǒng)內嵌的一個防火墻軟件，它集成在系統(tǒng)內核中，因此執(zhí)行效率非常高。 iptables通過設置一些封包過濾規(guī)則，來定義什么數(shù)據(jù)可以接收，什么數(shù)據(jù)需要別除，因此，用戶通過 iptables可以對進出美國服務器的數(shù)據(jù)包進行IP過濾，以達到保護美國服務器的目的。

1.保護 iptables本身所在的服務器

iptables的一個主要功能就是保護自身所在的美國服務器安全，類似于Windows下的防火墻軟件。

Linux系統(tǒng)的美國服務器本身和 Internet交互的過程，Linux首先要經過自身 iptables防護墻的第一層安全過濾，然后經過硬件防火墻的第二層過濾，最終到達互聯(lián)網(wǎng)，數(shù)據(jù)從互聯(lián)網(wǎng)返回的過程也要經過兩層防火墻的過濾，因此可以說 Linux系統(tǒng)自身的 iptables防火墻是系統(tǒng)安全的最后一道防線。

2.獨立的 Linux系統(tǒng)對整個網(wǎng)絡進行防護

iptables除了可以作為 Linux系統(tǒng)自身的防火墻之外，也可以架設在Linux路由器上對整個局域網(wǎng)絡進行安全防護。

Linux作為獨立的防火墻系統(tǒng)，處于外網(wǎng)與局域網(wǎng)之間，由于防火墻是架設在路由器上面的，因此可以對進入局域網(wǎng)的所有數(shù)據(jù)包進行過濾處理，同時也可以對局域網(wǎng)內的美國服務器進行訪問限制。所以說，只要設置了合理嚴格的Linux系統(tǒng)的 iptables過濾規(guī)則，就能抵制Internet不良信息的入侵，保護局域網(wǎng)的安全。

3.多臺 Linux系統(tǒng)對LAN進行多層安全防護

Linux系統(tǒng)作為防火墻對局域網(wǎng)內部的防范相對較弱，因為內部是受信任的區(qū)域。但是，在局域網(wǎng)內部有非常重要的資料或者保密部門的時候，單純的一個局域網(wǎng)無法滿足安全需求，此時就需要對安全的等級進行分類，在這個局域網(wǎng)內劃分出子網(wǎng)，同時在子網(wǎng)前再次架設一道 Linux防火墻，然后將安全部門或者保密資料放到這個子網(wǎng)內，子網(wǎng)通過第二道 Linux防火墻設置了更高的安全等級，保證了數(shù)據(jù)的安全。

4.對DMZ區(qū)域進行安全防護

DMZ區(qū)域，俗稱的非軍事區(qū)，可以理解為一個不同于外網(wǎng)或內網(wǎng)的特殊網(wǎng)絡區(qū)域，重點在保護美國服務器本身。DMZ區(qū)域將 Internet與局域網(wǎng)隔離開來，通常放置一些不含機密信息的服務器，比如Web、數(shù)據(jù)庫和FTP等美國服務器，這樣來自外網(wǎng)的訪問者可以通過 Linux防火墻訪問DMZ中的服務，無論是DMZ中服務器受到破壞，或者是局域網(wǎng)遭受攻擊，都不會影響另外一部分網(wǎng)絡。

DMZ區(qū)域與局域網(wǎng)是獨立存在的，DMZ區(qū)域的美國服務器都直接連接到外網(wǎng)區(qū)域的交換機上，然后通過 Linux防火墻與Internet進行交互。這種網(wǎng)絡構架，一方面保護了美國服務器的安全，另一方面，即使DMZ被黑客攻破，局域網(wǎng)的信息也不會泄露。

關注美聯(lián)科技，了解更多IDC資訊！