建立防火墙规则集的基本方法有两种: “明示允许 (inclusive)”型 或 “明示禁止 (exclusive)”型。 明示禁止的防火墙规则, 默认允许所有数据通过防火墙, 而这种规则集中定义的, 则是不允许通过防火墙的流量, 换言之, 与这些规则不匹配的数据, 全部是允许通过防火墙的。 明示允许的防火墙正好相反, 它只允许符合规则集中定义规则的流量通过, 而其他所有的流量都被阻止。
明示允许型防火墙能够提供对于传出流量更好的控制, 这使其更适合那些直接对 Internet 公网提供服务的系统的需要。 它也能够控制来自 Internet 公网到您的私有网络的访问类型。 所有和规则不匹配的流量都会被阻止并记录在案。 一般来说明示允许防火墙要比明示禁止防火墙更安全, 因为它们显著地减少了允许不希望的流量通过可能造成的风险。
除非特别说明, 这一章的配置和示范的规则集都是创建明示允许防火墙的。
使用了 “带状态功能的防火墙 (stateful firewall)”, 可以进一步地收紧安全机制。 这种防火墙能够记录通过防火墙的连接, 进而只允许与现有连接匹配的连接, 或创建新的连接。 带状态功能的防火墙的缺点是, 在很短时间内有大量的连接请求时, 它们可能会受到拒绝服务 (DoS) 攻击。 绝大多数防火墙都提供了同时启用两种防火墙的能力, 以便为站点提供更好的保护。
本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读
文档,如不能解决再联系
<questions@FreeBSD.org>.
关于本文档的问题请发信联系
<doc@FreeBSD.org>.