本书是构建Linux防火墙的杰出指南，包括如何使用Linux iptables/nftables来实现防火墙安全的主题。本书共分三大部分。第1部分为数据包过滤以及基本的安全措施，其内容有：数据包过滤防火墙的预备知识、数据包过滤防火墙概念、传统的Linux防火墙管理程序iptables、新的Linux防火墙管理程序nftables、构建和安装独立的防火墙。第2部分为Linux防火墙的高级主题、多个防火墙和网络防护带，其内容有：防火墙的优化、数据包转发、NAT、调试防火墙规则、虚拟专用网络。第3部分则讲解了iptables和nftables之外的主题，包括入侵检测和响应、入侵检测工具、网络监控和攻击检测、文件系统完整性等内容。
本书适合Linux系统管理员、网络安全专业技术人员阅读。

史蒂夫·苏哈林（Steve Suehring），是一位技术架构师，提供各种技术的咨询服务，并发表过与这些技术相关的演讲。从1995年起，他就从事Linux管理和安全工作，并担任过LinuxWorld杂志的Linux Security编辑。他还写作了Step by Step，Third Edition和MySQL Bible图书。

第1部分 数据包过滤以及基本安全措施
第1章 数据包过滤防火墙的预备知识
1.1 OSI网络模型
1.1.1 面向连接和无连接的协议
1.1.2 下一步
1.2 IP协议
1.2.1 IP编址和子网划分
1.2.2 IP分片
1.2.3 广播与组播
1.2.4 ICMP
1.3 传输层机制
1.3.1 UDP
1.3.2 TCP
1.4 地址解析协议（ARP）
1.5 主机名和IP地址
1.6 路由：将数据包从这里传输到那里
1.7 服务端口：通向您系统中程序的大门
1.8 小结
第2章 数据包过滤防火墙概念
2.1 一个数据包过滤防火墙
2.2 选择一个默认的数据包过滤策略
2.3 对一个数据包的驳回（Rejecting）VS拒绝（Denying）
2.4 过滤传入的数据包
2.4.1 远程源地址过滤
2.4.2 本地目的地址过滤
2.4.3 远程源端口过滤
2.4.4 本地目的端口过滤
2.4.5 传入TCP的连接状态过滤
2.4.6 探测和扫描
2.4.7 拒绝服务攻击
2.4.8 源路由数据包
2.5 过滤传出数据包
2.5.1 本地源地址过滤
2.5.2 远程目的地址过滤
2.5.3 本地源端口过滤
2.5.4 远程目的端口过滤
2.5.5 传出TCP连接状态过滤
2.6 私有网络服务VS公有网络服务
2.6.1 保护不安全的本地服务
2.6.2 选择运行的服务
2.7 小结
第3章 iptables：传统的Linux防火墙管理程序
3.1 IP防火墙（IPFW）和Netfilter防火墙机制的不同
3.1.1 IPFW数据包传输
3.1.2 Netfilter数据包传输
3.2 iptables基本语法
3.3 iptables特性
3.3.1 NAT表特性
3.3.2 mangle表特性
3.4 iptables语法
3.4.1 filter表命令
3.4.2 filter表目标扩展
3.4.3 filter表匹配扩展
3.4.4 nat表目标扩展
3.4.5 mangle表命令
3.5 小结
第4章 nftables：（新）Linux防火墙管理程序
4.1 iptables和nftables的差别
4.2 nftables基本语法
4.3 nftables特性
4.4 nftables语法
4.4.1 表语法
4.4.2 规则链语法
4.4.3 规则语法
4.4.4 nftables的基础操作
4.4.5 nftables文件语法
4.5 小结
第5章 构建和安装独立的防火墙
第2部分 高级议题、多个防火墙和网络防护带
第6章 防火墙的优化
第7章 数据包转发
第8章 网络地址转换
第9章 调试防火墙规则
第10章 虚拟专用网络
第3部分 iptables和nftables之外的事
第11章 入侵检测和响应
第12章 入侵检测工具
第13章 网络监控和攻击检测
第14章 文件系统完整性
第4部分 附录
附录A 安全资源
附录B 防火墙示例与支持脚本
附录C 词汇表
附录D GNU自由文档许可证