33.1.概述

防火墙使得可以过滤流经系统的进出流量。防火墙可以使用一组或多组“规则”来检查网络数据包,当它们进入或离开网络连接时,允许流量通过或阻止它。防火墙的规则可以检查数据包的一个或多个特征,例如协议类型、源或目标主机地址以及源或目标port。

防火墙可以增强主机或网络的安全性。它们可用于执行以下一项或多项操作:

  • 保护和隔离内部网络中的应用程序、服务和设备免受来自公共互联网的不必要流量。

  • 限制或禁用内部网络主机访问公共互联网服务。

  • 支持网络地址转换(NAT),允许内部网络使用私有 IP 地址,并使用单个 IP 地址或共享一组自动分配的公共地址共享与公共互联网的连接。

FreeBSD 在基本系统中内置了三个防火墙:PF、IPFW 和 IPFILTER,也称为 IPF。FreeBSD 还提供两种流量整形器来控制带宽使用:altq(4)和 dummynet(4)。ALTQ 传统上与 PF 紧密关联,dummynet 与 IPFW 关联。每个防火墙使用规则来控制数据包对 FreeBSD 系统的访问,尽管它们采用不同的方式进行,每个都有不同的规则语法。

FreeBSD 提供多个防火墙,以满足各种用户的不同需求和偏好。每个用户都应评估哪种防火墙最符合他们的需求。

阅读完本章后,你将会了解:

  • 如何定义数据包过滤规则。

  • FreeBSD 内置防火墙之间的区别。

  • 如何使用和配置 PF 防火墙。

  • 如何使用和配置 IPFW 防火墙。

  • 如何使用和配置 IPFILTER 防火墙。

阅读本章之前,你应该:

  • 理解基本的 FreeBSD 和互联网概念。

最后更新于

FreeBSD 中文社区