31.1. 概述
防火墙可以过滤经过系统的出入站流量。它可以使用一组或多组“规则”来检查网络连接中的出入流量并决定是否通过或阻止。防火墙的规则可以检查数据包的单个或多个特征,例如协议类型、来源主机或目标主机的地址以及来源主机或目标主机的端口。
防火墙可以增强主机或网络的安全性。它们可用于执行下列一项或多项操作:
- 保护内部网络中的应用程序、服务和计算机并隔离来自公用 Internet 中的有害流量。
- 限制或禁止内部网络的主机访问公用 Internet 的服务。
- 支持网络地址转换 (NAT),它允许内部网络使用私有 IP 地址,并使用单个 IP 地址或自动分配的公用地址的共享池来共享与公用 Internet 的单个连接。
FreeBSD 在基本系统中内置了三个防火墙:PF、IPFW 和 IPFILTER(也称为 IPF)。FreeBSD 还提供了两个流量整形器来控制带宽的使用: altq(4) 和 dummynet(4)。ALTQ 传统上与 PF 紧密相连,IPFW 与 dummynet 紧密联系。每个防火墙都使用规则来控制进出 FreeBSD 系统的数据包的访问,尽管它们以不同的方式实现,各自也都有不同的规则语法。
FreeBSD 提供了多个防火墙,以满足各种用户的不同需求和偏好。每个用户都应评估哪种防火墙最能满足他们的需求。
读完本章,你就会知道:
- 如何定义数据包过滤规则。
- 内置于 FreeBSD 中的防火墙之间的差异。
- 如何使用和配置 PF 防火墙。
- 如何使用和配置 IPFW 防火墙。
- 如何使用和配置 IPFILTER 防火墙。
在阅读本章之前,你应该:
- 了解基本的 FreeBSD 和 Internet 概念。
| 注意 |
|---|
| 由于所有防火墙都基于检查所选数据包控制字段的值,因此防火墙规则集的创建者必须了解 TCP/IP 的工作原理、数据包控制字段中的不同值是什么,以及在一般的会话中这些值的作用。有关良好的介绍,请参阅 Daryl 的 TCP/IP 入门。 |
若有收获,就点个赞吧
0 人点赞
