iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 11
0
自我挑戰組

跟著FreeBSD官方handbook入門UNIX系列 第 11

[FreeBSD 入門] 封包過濾器 / PF / 防火牆

  • 分享至 

  • xImage
  •  

參考 手書第30章-防火牆
還有中文版手書第26章-防火牆

防火牆是什麼?

防火牆能夠過濾進出系統的流量,
且可以透過一組以上的規則(rules),來檢查網路連結中流進跟流出的封包的特徵,並將其阻擋或通過。

FreeBSD裡有三種防火牆可以選擇:

  1. PF (FreeBSD的PF是從OpenBSD移植過來的)
  2. IPFW
  3. IPFILTER

防火牆的小概念

直接引用手書:
基本上防火牆規則可分為兩種型態,分別為:「exclusive」以及「inclusive」。 「exclusive」類似「黑名單」,它先允許所有封包通過, 然後違反規則的封包則禁止通過防火牆。 相反的,「inclusive」類似「白名單」,它先擋住所有封包通過, 然後只允許有符合規則的才可通過防火牆。
此外,使用「stateful firewall」可讓安全性更嚴密。 它會持續記錄通過防火牆開放的連線, 並且只允許符合現存或開啟新的連線才能通過防火牆。 狀態防火牆的缺點是如果在非常快的速度下開啟許多新連線,就可能會受到阻絕式服務攻擊 (DoS, Denial of Service)。 在大多數的防火牆方案中,也可以交叉運用「stateful 」及「non-stateful 」防火牆的組合, 讓該網站的防火牆達到最佳化。

關於 PF

官方推薦的讀物: Peter Hansteen 維護的 PF 教學 :
Firewalling with OpenBSD's PF packet filter
他也有出書: Book of PF, 3rd Edition

推薦兩個主流基於FreeBSD的開源防火牆軟體:

1.OpenSencse 比較新,介面基於Web UI
2.PFsense 老字號,歷久不衰


上一篇
[FreeBSD 入門] Jails 監獄-作業系統虛擬化技術
下一篇
[FreeBSD 入門] UNIX文件系统結構的基礎知識
系列文
跟著FreeBSD官方handbook入門UNIX18
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言