28.2. 淺談防火牆概念

基本上防火牆規則可分為兩種型態,分別為:「exclusive」以及 「inclusive」。 「exclusive」類似「黑名單」,它先允許所有封包通過, 然後違反規則的封包則禁止通過防火牆。 相反的,「inclusive」類似「白名單」,它先擋住所有封包通過, 然後只允許有符合規則的才可通過防火牆。

整體來說,「inclusive」式防火牆會比「exclusive」式防火牆安全些。 因為「inclusive」明顯降低了不必要的風險。

此外,使用「stateful firewall」可讓安全性更嚴密。 它會持續記錄通過防火牆開放的連線, 並且只允許符合現存或開啟新的連線才能通過防火牆。 狀態防火牆的缺點是如果在非常快的速度下開啟許多新連線, 就可能會受到阻絕式服務攻擊(DoS, Denial of Service)。 在大多數的防火牆方案中,也可以交叉運用「stateful 」及「non-stateful」 防火牆的組合,讓該網站的防火牆達到最佳化。

本文及其他文件,可由此下載:ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

若有 FreeBSD 方面疑問,請先閱讀 FreeBSD 相關文件,如不能解決的話,再洽詢 <questions@FreeBSD.org>。
關於本文件的問題,請洽詢 <doc@FreeBSD.org>。