有兩種基本的方式可以建立防火牆規則: 「先容式(exclusive)」或是「後容式(inclusive)」。 除了規則中禁止的之外,先容式的防火牆允許所有的網路流量通過。 而後容式的剛好相反,它只允許符合規則的通過, 並阻擋其他所有的封包。
綜觀來說,「後容式(inclusive)」的防火牆會「先容式(exclusive)」的防火牆安全。 因為後容式的防火牆明顯降低了允許不希望其通過的網路流量造成之風險。
使用「狀態防火牆(stateful firewall)」可讓安全性更嚴密。 狀態防火牆會持續記錄通過防火牆開放的連線, 並且只允許符合現存或開啟新的連線才能通過防火牆。 狀態防火牆的缺點是如果在非常快的速度下開啟許多新連線,就可能會受到阻絕式服務 (DoS, Denial of Service) 攻擊。 在大多數的防火牆中,也可以交插使用狀態及非狀態防火牆的組合, 讓該站的防火牆達到最佳化。
This, and other documents, can be downloaded from ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.