本節書摘來自異步社群《linux防火牆(第4版)》一書中的第2章,第2.2節,作者:【美】steve suehring(史蒂夫 蘇哈林)著,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
就像本章前面所說的那樣,防火牆是一個實作通路控制政策的裝置。這個政策的大部分的決策基于一個預設的防火牆政策。
實作一個預設的防火牆政策有兩種方法:
預設拒絕所有消息,明确地允許標明的資料包通過防火牆;
預設接受所有消息,明确地拒絕標明的資料包通過防火牆。
毫無疑問,推薦的方法是預設拒絕所有消息的政策。這種方法可以更容易地建立一個安全的防火牆,但您需要的每項服務和相關的事務協定必須被明确地啟用(見圖2.3)。
這意味着您必須了解您啟用的每一項通信協定。“拒絕所有消息”的方法需要更多的工作來保證網際網路接入。一些商業防火牆産品隻支援“拒絕所有消息”的政策。
“接受所有消息”的政策使建構防火牆更加容易并且可以立刻運作。但它迫使您預見到您要關閉的所有可以想象到的通路類型(見圖2.4)。這樣做的危險是您并不能預期到某一危險的通路類型,直到這一切已經太遲了。或者您可能在後來啟用一個不安全的服務,而并沒有首先阻止外部通路到它。最後,開發一個安全的“接受所有消息”防火牆需要更多的工作,并且難度高得多,幾乎總是更不安全,因而更加容易出錯。
