本节书摘来自异步社区《Linux防火墙(第4版)》一书中的第2章,第2.2节,作者:【美】Steve Suehring(史蒂夫 苏哈林)著,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.2 选择一个默认的数据包过滤策略
就像本章前面所说的那样,防火墙是一个实现访问控制策略的设备。这个策略的大部分的决策基于一个默认的防火墙策略。
实现一个默认的防火墙策略有两种方法:
- 默认拒绝所有消息,明确地允许选定的数据包通过防火墙;
- 默认接受所有消息,明确地拒绝选定的数据包通过防火墙。
毫无疑问,推荐的方法是默认拒绝所有消息的策略。这种方法可以更容易地建立一个安全的防火墙,但您需要的每项服务和相关的事务协议必须被明确地启用(见图2.3)。
这意味着您必须了解您启用的每一项通信协议。“拒绝所有消息”的方法需要更多的工作来保证互联网接入。一些商业防火墙产品只支持“拒绝所有消息”的策略。
“接受所有消息”的策略使构建防火墙更加容易并且可以立刻运行。但它迫使您预见到您要关闭的所有可以想象到的访问类型(见图2.4)。这样做的危险是您并不能预期到某一危险的访问类型,直到这一切已经太迟了。或者您可能在后来启用一个不安全的服务,而并没有首先阻止外部访问到它。最后,开发一个安全的“接受所有消息”防火墙需要更多的工作,并且难度高得多,几乎总是更不安全,因而更加容易出错。
