第 30 章 防火墙

Contributed by Joseph J. Barbish.
Converted to SGML and updated by Brad Davis.
目录
30.1. 简介
30.2. 防火墙的概念
30.3. PF
30.4. IPFW
30.5. IPFILTER (IPF)
30.6. Blacklistd

30.1. 简介

防火墙的存在, 使得过滤出入系统的数据流成为可能。 防火墙可以使用一组或多组 “规则(rules)”, 来检查出入您的网络连接的数据包, 并决定允许或阻止它们通过。 这些规则通常可以检查数据包的某个或某些特征, 这些特征包括, 但不必限于协议类型、 来源或目的主机地址, 以及来源或目的端口。

防火墙可以大幅度地改善主机或网络的安全。 它可以用来完成下面的任务:

  • 保护和隔离应用程序、 服务程序, 以及您内部网络上的机器, 不受那些来自公共的 Internet 网络上您所不希望的数据流量的干扰。

  • 限制或禁止从内部网访问公共的 Internet 上的服务。

  • 支持网络地址转换 (NAT), 它使得您的内部网络能够使用私有的 IP 地址, 并分享一条通往公共的 Internet 的连接 (使用一个 IP 地址, 或者一组公网地址)。

FreeBSD有三种内置于基础系统的防火墙:PFIPFWIPFILTERIPF。FreeBSD也提供了两种流量限制程序(Traffic shaper)来控制频宽的用量:altq(4)dummynet(4)ALTQ一般配合PF使用,而dummynet会配合IPFW。每一种防火墙都会使用规则来管制来自与送往FreeBSD的封包,尽管它们用不同的方式运作且有不同的规则语法。

FreeBSD提供多个防火墙是为了满足不同的需求与各种使用者的偏好,每位使用者应评价那一种防火墙最能满足其需求。

读完本章节,你将会知道:

  • 如何正确地定义包过滤规则。

  • FreeBSD 中内建的几种防火墙之间的差异。

  • 如何使用和配置 OpenBSD 的 PF 防火墙。

  • 如何使用和配置 IPFW

  • 如何使用和配置 IPFILTER防火墙。

在阅读这个章节之前,您应当:

  • 了解FreeBSD基础及网络概念。

注意:

由于所有防火墙都基于检查所选数据包控制字段的值,因此防火墙规则集的编写者必须了解TCP/IP的工作原理、数据包控制字段中的不同值是什么,以及如何在正常会话会话会话中使用这些值。可以阅读Daryl's TCP/IP Primer了解 TCP/IP。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.