|
FreeBSD handbook中文版 10 安全(19) MIT Project Athena (grunt.grondar.za)
Password:
% rlogin grunt
Last login: Mon May 1 21:14:47 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
或者jack 登陆进在同一机器上的jane 的帐户。
% kinit
% rlogin grunt -l jane
MIT Project Athena (grunt.grondar.za)
Password:
Last login: Mon May 1 21:16:55 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995
第30 页FreeBSD 使用手册
10.7 防火墙
防火墙是提高人们访问互联网的兴趣的一个工具,它能够提高私有网络的安全性。这节
将介绍防火墙是什么,如何使用它们,和如何使用内核中提供的工具来实现它们。
注意:人们经常认为在你的内部网络与外部网络之间建立一个防火墙能够解决所有的安
全问题。但是一个糟糕的防火墙设置要比没有防火墙可能更加危险。一个防火墙可以为你的
系统增加另一个安全层,但它不可能完全阻止一些黑客高手侵入你的系统。如果你觉得你的
防火墙能够完全阻止黑客入侵而放松了安全设置,那你可能会让黑客侵入你的系统变得更加
容易。
10.7.1 什么是防火墙?
今天,经常使用的防火墙主要有两种类型。第一种类型是叫做packet filtering
router,它主要是通过设置一定的规则来转发或阻止数据包的传输。第二种是proxy server,
依靠守护程序来提供验证,然后转发数据包。
有时,有些站点同时使用两种类型的防火墙,以至只有某台机器(主要是bastion host)
才能被允许发送数据包到内部网络。代理服务运行在bastion host上,通常它要比普通的
验证机制安全。
FreeBSD 有一个内核数据包过滤程序(IPFW),在这节的余下部分将详细讲到,但由于有
很多的代理服务器可以使用,所以在这篇文档中无法一一讲到。
10.7.1.1 数据包过滤路由
路由器是负责在网络之间转发数据的机器。一个数据包过滤路由器在它的内核中有额外
一部分代码,它们在决定数据包是被转发还是被阻止之前,会根据给出的规则比较每个数据
|
