31.2. 防火墙的概念

建立防火墙规则集的基本方法有两种: 明示允许 (inclusive)型 或 明示禁止 (exclusive)型。 明示禁止的防火墙规则, 默认允许所有数据通过防火墙, 而这种规则集中定义的, 则是不允许通过防火墙的流量, 换言之, 与这些规则不匹配的数据, 全部是允许通过防火墙的。 明示允许的防火墙正好相反, 它只允许符合规则集中定义规则的流量通过, 而其他所有的流量都被阻止。

明示允许型防火墙能够提供对于传出流量更好的控制, 这使其更适合那些直接对 Internet 公网提供服务的系统的需要。 它也能够控制来自 Internet 公网到您的私有网络的访问类型。 所有和规则不匹配的流量都会被阻止并记录在案。 一般来说明示允许防火墙要比明示禁止防火墙更安全, 因为它们显著地减少了允许不希望的流量通过可能造成的风险。

注意:

除非特别说明, 这一章的配置和示范的规则集都是创建明示允许防火墙的。

使用了 带状态功能的防火墙 (stateful firewall), 可以进一步地收紧安全机制。 这种防火墙能够记录通过防火墙的连接, 进而只允许与现有连接匹配的连接, 或创建新的连接。 带状态功能的防火墙的缺点是, 在很短时间内有大量的连接请求时, 它们可能会受到拒绝服务 (DoS) 攻击。 绝大多数防火墙都提供了同时启用两种防火墙的能力, 以便为站点提供更好的保护。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <[email protected]>.

关于本文档的问题请发信联系 <[email protected]>.