Linux下的防火墙机制应用

总体说来，防火墙产品应该具有下述几点基本功能：防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”；防火墙本身应支持各种安全策略；可扩展性强，组织机构可以根据实际情况，变更安全策略，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；需要提供界面友好、易于编程实现的IP过滤规则语言，并可以根据数据包的性质进行基于TCP/IP的包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等；能够维护自身软件的安全，即具有较好的存活性。

　　在这几点当中，安全策略是防火墙的灵魂和基础。用户在使用防火墙保护关键业务系统之前需要从整体上在安全现状、风险评估和商业需求几个层次上提出一个完备的总体安全策略，这是配置和使用防火墙的关键所在。通常的安全策略可以基于如下两点制订（相对而言，后一方面限制性大，前一方面宽松）：

　　● 准许除明确拒绝以外的全部访问——所有未被禁止的都是合法的；

　　● 拒绝访问除明确准许以外的全部访问——所有未被允许的都是非法的。