PF防火墙配置与数据包过滤详解
超级会员免费看
网络数据包过滤与PF配置全解析
1. 网络流量控制的重要性
许多网络管理员在构建防火墙时,会仔细过滤和限制传入流量,但对传出流量仅施加最小限制。然而,控制传出流量同样重要。即便信任用户,恶意软件也可能将技术精湛的工程师的工作站变成垃圾信息的传播源。所以,不能假定网络不会作恶,它可能会产生恶意行为,而谨慎的流量控制能将对邻居、客户和声誉造成的损害降至最低。
以下是一些具体的控制建议:
- 若员工桌面无需连接任意远程邮件服务器,应予以阻止,这样即使工作站感染垃圾邮件机器人,也不会被外界列入黑名单。
- 若用户无需连接远程DNS服务器,应使用公司的DNS服务器,阻止出站DNS,防止用户在不知不觉中放大拒绝服务攻击。
建议对入站和出站流量都采取默认拒绝的立场,并明确允许所需的流量。不过,也存在一些例外情况,例如若网络中的所有系统都运行OpenBSD,可在一定程度上抵御常规恶意软件,但如今恶意软件已开始针对电视、蓝光播放器、流媒体播放器等联网设备,因此仍需做好防护。
2. 数据包过滤的局限性
数据包过滤完全基于TCP/IP协议及相关特征(如端口号)来控制网络连接。它能实现以下功能:
- 阻止来自特定IP地址的所有流量。
- 仅允许连接到特定的TCP/IP端口。
- 仅允许带有特定标志(如ECN标志)的数据包进入。
同时,它可以过滤运行在逻辑协议层的协议,如IPsec、SKIP、VINES等,但仅针对网络协议层。若协议层不同,PF则无法提供帮助。此外,PF甚至可以按MAC地址进行过滤,通过在bridge(4)接口上添加标签来支持这种特定的媒体层协议。
然而,P
订阅专栏 解锁全文
扫一扫
44
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
