防火墙实际上是用来实现Linux下访问控制的功能。它可以分为硬件防火墙和软件防火墙。无论在哪个网络中，防火墙都必须工作在网络的边缘。而我们的任务就是准确定义防火墙的工作原理，也就是防火墙的策略和规则，让它能够检测进出网络的ip和数据。

    目前市场上有三四层防火墙，称为网络层防火墙，七层防火墙，其实就是代理层的网关。就tcp/ip的七层模型来说，我们知道第三层是网络层，第三层防火墙会在这一层检测源地址和目的地址。但是对于七层防火墙来说，不管你的源端口还是目的端口，源地址还是目的地址是什么，你的东西都会被检查。所以就设计原理而言，七层防火墙更安全，但带来的效率更低。所以市面上通常的防火墙方案都是两者的结合。

    NAT

    网络地址转换(简称nAt)是将一个ip包报头中的ip地址转换成另一个ip地址。当ip包通过设备时，设备将转换ip包的源ip地址和/或目的ip地址。在实际应用中，nAt主要用在私网访问外网或者外网访问私网的时候。

    要设置服务器防火墙，您需要使用规则。每个规则都指定了在包中匹配什么以及如何处理包。

    nAt的基本转换过程

    当设备执行nAt功能时，它位于公共网络和私有网络的交界处。下图描述了nAt的基本转换过程:

    如上图所示，该设备位于私有网络和公共网络的交界处。当内部pc(10.1.1.2)向外部服务器(202.1.1.2)发送ip数据包时，该ip数据包将通过设备。查看数据包报头的内容，设备发现该ip数据包被发送到公共网络。然后，它将ip数据包1的源地址10.1.1.2更改为可以在互联网上路由的公共地址202.1.1.1，并将该ip数据包发送到外部服务器。同时，设备在网络地址转换表中记录了这种映射。外部服务器向内部pc(其初始目的地址为202.1.1.1)发送ip数据包1的响应消息。当它到达设备时，设备再次查找数据包报头的内容，然后查找当前网络地址转换表的记录，并用内部pc的私有地址10.1.1.2替换目的地址。在这个过程中，设备对pc和服务器是透明的。对于外部服务器，它认为内部pc的地址是202.1.1.1，但不知道10.1.1.2的地址。因此，nAt“隐藏”了企业的私有网络。

    设备的nAt功能

    设备的nAt功能将内网主机的ip地址和端口替换为设备外网的ip地址和端口，并将设备外网地址和端口转换为内网主机的IP地址和端口。即“私有地址+端口”和“公有地址+端口”的转换。

    该设备通过创建和执行nAt规则来实现nAt功能。有两种类型的nAt规则，即源nAt规则和目的nAt规则。SnAt转换源ip地址以隐藏内部ip地址或共享有限的ip地址；DnAt转换目的ip地址，通常是将设备保护的内部服务器(如www服务器或smtp服务器)的ip地址转换为公有ip地址。