33.1.概述

防火墙可以过滤经过系统的出入站流量。它可以使用一组或多组“规则”来检查网络连接中的出入流量并决定通过或阻止。防火墙的规则可以检查数据包的单个或多个特征，例如协议类型、来源主机或目标主机的地址以及来源主机或目标主机的端口。

防火墙可以增强主机或网络的安全性。它们可用于执行下列一项或多项操作：

• 保护内部网络中的应用程序、服务和计算机并隔离来自互联网中的有害流量。

• 限制或禁止内部网络的主机访问互联网的服务。

• 支持网络地址转换（NAT），它允许内部网络使用私有 IP 地址，并使用单个 IP 地址或自动分配的公用地址的共享池来共享与公用互联网的单个连接。

FreeBSD 在基本系统中内置了三个防火墙：PF、IPFW 和 IPFILTER（也称为 IPF）。FreeBSD 还提供了两个流量整形器来控制带宽的使用： altq(4) 和 dummynet(4)。在传统上 ALTQ 与 PF 紧密相连，而 IPFW 则与 dummynet 紧密联系。每个防火墙都使用规则来控制进出 FreeBSD 系统的数据包的访问，尽管它们以不同的方式实现，各自也都有不同的规则语法。

FreeBSD 提供了多个防火墙，以满足各种用户的不同需求和偏好。每个用户都应评估哪种防火墙最能满足他们的需求。

读完本章，你就会知道：

• 如何自定义数据包过滤规则。

• FreeBSD 内置防火墙之间的差异。

• 如何使用和配置 PF 防火墙。

• 如何使用和配置 IPFW 防火墙。

• 如何使用和配置 IPFILTER 防火墙。

在阅读本章之前，你应该：

• 了解 FreeBSD 基础和互联网概念。

注意

由于所有防火墙都基于检查所选数据包控制字段的值，因此防火墙规则集的创建者必须了解 TCP/IP 的工作原理、数据包控制字段中的不同值是什么，以及在一般的会话中这些值的作用。有关的较好的介绍，请参阅 Daryl 的 TCP/IP 入门。