30.2. Röviden a tűzfalakról

A tűzfalak szabályrendszereit alapvetően kétféleképpen tudjuk összeállítani: "inkluzív", vagyis megengedő, illetve "exkluzív" vagyis kizáró módon. Az exkluzív tűzfalak minden forgalmat átengednek, amiről nem rendelkeznek a tűzfal szabályai. Az inkluzív tűzfalak ennek pontosan az ellenkezőjét teszik. Csak azt a forgalmat engedik át, amiről van szabály és minden mást blokkolnak.

Az inkluzív tűzfalak alkalmazásával sokkal jobban kezünkbentudjuk tartani a hálózatunk kimenő forgalmát, ezért leginkább az internetes szolgáltatásokat futtató rendszerek esetében bizonyulhat jobb választásnak. Emellett az internetről a hálózatunk felé irányuló forgalmat is képes szabályozni. Ekkor az egyetlen szabályra sem illeszkedő csomagokat egyszerűen eldobjuk és naplózzuk. Az inkluzív tűzfalak általában biztonságosabbak az exkluzív típusú társaiknál, mivel esetükben jelentős mértékben visszaszorul a nem kívánatos átfolyó forgalom.

Megjegyzés:

Hacsak nem emeljük ki külön, a fejezet további részében minden példaként megadott szabályrendszer inkluzív tűzfalat hoz létre.

Ez a típusú védelem még tovább fokozható az "állapottartó tűzfalak" (stateful firewall) használatával. Az ilyen típusú tűzfalak szemmel tartják a rajtuk keresztül megnyitott kapcsolatokat, és vagy csak a már meglevő kapcsolathoz tartozó forgalmat engedik át vagy nyitnak egy újat. Az állapottartó tűzfalak hátránya, hogy a "Denial of Service" (DoS) típusú támadásokkal szemben sokkal sérülékenyebbek olyan helyzetekben, amikor az új kapcsolatok nagyon gyorsan jönnek létre. A legtöbb tűzfal esetében azonban tudjuk vegyíteni az állapottartó és nem állapottartó viselkedést, és ezzel egy ideális beállítást kialakítani.

Ha kérdése van a FreeBSD-vel kapcsolatban, a következő címre írhat (angolul): <questions@FreeBSD.org>.

Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon: <gabor@FreeBSD.org>.