防火墙是一个非常重要的网络安全工具，但是如果在需要对防火墙规则进行快速、复杂的动态修改时你该如何实现呢？如果你使用本文介绍的Daniel Robbins 的动态防火墙脚本，这将是一件非常容易的工作。你可以利用这些脚本来增强你网络的安全性和对网络攻击的实时响应性，并基于该脚本进行自己的创造性设计。

　　理解动态防火墙的脚本能够带来的益处的最好方法就是看它们在实际中的应用。假设我是某个ISP的系统管理员，我最近架设了一个基于Linux的防火墙来保护我的客户和内部系统，防止外部恶意用户的攻击。为了实现该系统我使用了新版Linux2.4内核的iptables工具来实现，防火墙允许客户和内部服务器向Internet建立连接，也允许从Internet向内部系统的公共服务如web服务器、ftp服务器等建立新的连接。由于这里我使用了默认拒绝任何服务，只开放允许的服务的策略，因此从Internet到非公共服务如squid的代理服务、samba服务的连接是被拒绝的。目前我已经有了一个功能完备的、满足安全需求的防火墙系统，其能对ISP的所有用户提供很好的保护。

　　刚刚开始的一个星期防火墙工作情况良好，但是随后一些糟糕的事情发生了。Bob-一个攻击者对我的网络进行了攻击，它采用了使用垃圾数据报淹没我的 ISP网络的方法来对我的客户进行Dos攻击。不幸的是Bob已经对我的防火墙进行了仔细的研究，知道虽然我对内部服务进行了保护但是25端口和80端口都是开放的以收发Emai和开放www服务。Bob决定对我的Email和WWW服务器进行Dos的攻击。

　　Bob开始攻击的1-2分钟以后我发现我的线路出现严重的拥塞情况。通过tcpdump察看我发现这是Bob进行的一次攻击。并且我得到了它的攻击源地址。现在我就需要阻止这些IP地址对我的公共服务器的连接。下面我就讨论一种简单方便的解决方案。

　　阻止攻击

　　我马上采取行动，加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑，来阻塞这些Bob发出的恶意攻击数据的源地址的数据报。大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置，我马上添加了新的规则并重新启动了防火墙。很快防火墙发挥了作用，Bob的攻击得到了遏制。现在看起来我成功的击溃了Bob的攻击，可是不久网络值班电话又响了起来，原来是客户发现网络不可用而打过来的投诉电话。可是更加糟糕的是几分钟以后我注意到我的Internet连接线路又开始出现严重阻塞。我仔细察看原来是Bob使用了新的IP地址进行攻击行动。我只好不得不再次修改防火墙启动脚本来阻止它的攻击。我就这样一直在Bob的屁股后面疲于奔命。