zichuan
发表于 2005-1-3 21:59:08
cl确实小巧玲珑但有一个困扰兄弟N久的问题,望各位高手指点一二。cl的默认防火墙策略是全部放行,如何改成全部屏蔽。希望各位高手不吝赐教!
bow
发表于 2005-1-4 00:57:50
保守的方法都是先都封掉。然后用什么开什么。这样使安全第一,但会很麻烦。
zichuan
发表于 2005-1-4 07:33:01
想将全部放行改成全部阻断,再开需要的端口和协议
DreamCat
发表于 2005-1-4 09:32:08
不管什么路由,也不管你是否做了配置,没有默认就接受所有外部连接的。当然,自身开的其他服务不算。你说的要禁止,是禁止什么呢?而且对于IPtables来讲,必须是先接受然后是单独禁止。
zichuan
发表于 2005-1-4 14:14:35
我指的是由内向外的数据流,希望先全部屏蔽,然后按需开启,这需要改动其默认策略,由全部放行为全部关闭。
DreamCat
发表于 2005-1-4 14:16:24
QUOTE
先全部屏蔽,然后按需开启
可以是可以,不过那得麻烦死你。。。。
DreamCat
发表于 2005-1-4 18:40:36
不管什么防火墙,默认策略无非两种:1、先是全部禁止,然后是有选择放行。这种策略是最安全的。2、先是全部放行,然后是针对性的禁止。说说我个人的看法:对于第一种,我感觉适合于服务器使用。毕竟服务器使用的协议端口比较少,操作起来比较简单。但是对于普通应用(比如企事业单位、个人)来说,连接建立自内网,会使用许多未知的服务,一旦碰到没有放行的服务端口,需要再添加放行规则。除非有专人管理,不然是很麻烦的。但是这种策略无疑是最安全的。也能够有效的防止木马。而第二种,也就是多数包过滤防火墙的特点,个人感觉就是亡羊补牢型的,总是在出了问题的时候再增加规则进行防范。CL 就是这种。这种方法的好处是自明的。这个话题值得讨论。建议各位参与讨论。。。题外话:最近一直在恶补 iptables,翻了N多的资料,才发现为什么多数路由软件都叫 FIREWALL。哈哈。。。
页:
[1]