本文以ipchains, iptables, checkpoint FW1為例，闡述linux下的防火墻的不同實現(xiàn)之間的區(qū)別。
基本概念
在進入正題之前，我將花少許篇幅闡述一些基本概念。盡管防火墻的術(shù)語這些年基本上沒有太大的變化，但是如果你以前只看過90年代初的一些文獻的話，有些概念仍然會讓你混淆。此處只列出一些最實用的，它們不是準確的定義，我只是盡可能的讓它們便于理解而已。
包過濾：
防火墻的一類。80年代便有論文來描述這種系統(tǒng)。傳統(tǒng)的包過濾功能在路由器上常可看到，而專門的防火墻系統(tǒng)一般在此之上加了功能的擴展，如狀態(tài)檢測等。它通過檢查單個包的地址，協(xié)議，端口等信息來決定是否允許此數(shù)據(jù)包通過。
代理：
防火墻的一類。工作在應用層，特點是兩次連接（browser與proxy之間,proxy與web server之間）。如果對原理尚有疑惑，建議用sniffer抓一下包。代理不在此文的討論范圍之內(nèi)。
狀態(tài)檢測：
又稱動態(tài)包過濾，是在傳統(tǒng)包過濾上的功能擴展，最早由checkpoint提出。傳統(tǒng)的包過濾在遇到利用動態(tài)端口的協(xié)議時會發(fā)生困難，如ftp。你事先無法知道哪些端口需要打開，而如果采用原始的靜態(tài)包過濾，又希望用到的此服務的話，就需要實現(xiàn)將所有可能用到的端口打開，而這往往是個非常大的范圍，會給安全帶來不必要的隱患。 而狀態(tài)檢測通過檢查應用程序信息（如ftp的PORT和PASS命令），來判斷此端口是否允許需要臨時打開，而當傳輸結(jié)束時，端口又馬上恢復為關(guān)閉狀態(tài)。
DMZ非軍事化區(qū)：
為了配置管理方便，內(nèi)部網(wǎng)中需要向外提供服務的服務器往往放在一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。防火墻一般配備三塊網(wǎng)卡，在配置時一般分別分別連接內(nèi)部網(wǎng)，internet和DMZ。
由于防火墻地理位置的優(yōu)越（往往處于網(wǎng)絡(luò)的關(guān)鍵出口上），防火墻一般附加了NAT，地址偽裝和VPN等功能，這些不在本文的討論范圍。
檢測點
綜述
包過濾需要檢查IP包，因此它工作在網(wǎng)絡(luò)層，截獲IP包，并與用戶定義的規(guī)則做比較。
ipchains

總體來說，分為輸入檢測，輸出檢測和轉(zhuǎn)發(fā)檢測。但具體到代碼的時候，輸出檢測實際分散到了幾處（不同的上層協(xié)議走IP層的不同的流程）：
UDP/RAW/ICMP報文:ip_build_xmit
TCP報文:ip_queue_xmit
轉(zhuǎn)發(fā)的包：ip_forward
其它：ip_build_and_send_pkt
正如ipchains項目的負責人Rusty Russell所說，在開始ipchians不久，便發(fā)現(xiàn)選擇的檢測點位置錯了，最終只能暫時將錯就錯。一個明顯的問題是轉(zhuǎn)發(fā)的包在此結(jié)構(gòu)中必須經(jīng)過三條鏈的匹配。地址偽裝功能與防火墻模塊牽扯過于緊密，如果不詳細了解其原理的話，配置規(guī)則很容易出錯。

iptables
2.4內(nèi)核中的防火墻系統(tǒng)不是2.2的簡單增強，而是一次完全的重寫，在結(jié)構(gòu)上發(fā)生了非常大的變化。相比2.2的內(nèi)核，2.4的檢測點變?yōu)榱宋鍌€。
在每個檢測點上登記了需要處理的函數(shù)（通過nf_register_hook（）保存在全局變量nf_hooks中），當?shù)竭_此檢測點的時候，實現(xiàn)登記的函數(shù)按照一定的優(yōu)先級來執(zhí)行。嚴格的從概念上將，netfilter便是這么一個框架，你可以在適當?shù)奈恢蒙系怯浺恍┠阈枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)（在代碼中搜nf_register_hook的調(diào)用），如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能。
FW1
FW1是chekpoint推出的用于2.2內(nèi)核的防火墻。由于其發(fā)布的模組文件帶了大量的調(diào)試信息，可以從反匯編的代碼中窺探到到許多實現(xiàn)細節(jié)。
FW1通過dev_add_pack的辦法加載輸入過濾函數(shù)。但是此處有個問題：在net_bh()中，傳往網(wǎng)絡(luò)層的skbuff是克隆的,即

skb2=skb_clone(skb, GFP_ATOMIC);
if(skb2)
pt_prev->func(skb2, skb->dev, pt_prev);

這樣的話如果你想丟棄此包的話，光將其free掉是不夠的，因為它只是其中的一份拷貝而已。
FW1是怎么解決這個問題的呢？見下面的代碼（從匯編代碼翻譯成的C程序）：

packet_type *fw_type_list=NULL;
static struct packet_type fw_ip_packet_type =
{
__constant_htons(ETH_P_IP),
NULL, /* All devices */
fw_filterin,
NULL,
NULL, /* next */
};

fwinstallin(int isinstall )
{
packet_type *temp;

/*安裝*/
if(isinstall==0){
dev_add_pack(&fw_ip_packet_type);
fw_type_list = fw_ip_packet_type->next;

for(temp = fw_type_list; temp; temp=temp->temp)
dev_remove_pack(temp);
}
/*卸載*/
else {
dev_remove_pack(&fw_ip_packet_type);

for(temp = fw_ip_packet_type; temp; temp=temp->next)
dev_add_pack(temp);
}
}

不難看出，F(xiàn)W1把ip_packet_type歇載掉了，然后自己在自己的處理函數(shù)(fw_filterin)中調(diào)ip_recv。
輸出的掛載和lkm的手法一樣，更改dev->hard_start_xmit。dev結(jié)構(gòu)在2.2版本的發(fā)展過程中變了一次，為了兼容FW1對這點也做了處理（通過檢查版本號來取偏移）。
還有一款linux下的防火墻產(chǎn)品WebGuard（http://www.gennet.com.tw/b5/csub_webguard.html）采用的手法與FW1其非常類似。有興趣的人可以自行研究一下。