28.3. 防火牆相關軟體

在 FreeBSD 基本系統中內建有三種不同的防火牆軟體套件。 它們分別是 IPFILTER (也就是 IPF)、 IPFIREWALL (也就是 IPFW), 以及 OpenBSD 的 PacketFilter (即有名的 PF)。 FreeBSD 也有兩個內建的流量控管套件(基本上是控制頻寬的使用): altq(4) 以及 dummynet(4)。 通常我們習慣把 Dummynet 與 IPFW 一併運用, 而 ALTQ 則是搭配 IPF/PF 一同使用。 雖然 IPF、IPFW 以及 PF 是使用不同的實做方式及規則語法, 但是它們都使用規則來控制是否允許資料封包進出你的系統。

FreeBSD 為何會內建許多不同的防火牆軟體套件,這是因為不同人會有不同的需求 、偏好,很難說哪一個防火牆軟體套件是最好的。

而筆者偏好 IPFILTER 的原因,是因為運用在 NAT 環境的時候,它的狀態規則是相對簡單許多的。 而且它內建的 FTP 代理,也簡化了如何設定安全的對外 FTP 服務規則。

正由於所有的防火牆都是以「檢查、控制所選定之封包」的實作,所以, 制定防火牆規則的人就更必須了解 TCP/IP 如何運作, 以及如何控制封包在正常 session 的各種作用。 更詳盡的說明,請參閱: http://www.ipprimer.com/overview.cfm

All FreeBSD documents are available for download at http://ftp.FreeBSD.org/pub/FreeBSD/doc/

Questions that are not answered by the documentation may be sent to <freebsd-questions@FreeBSD.org>.
Send questions about this document to <freebsd-doc@FreeBSD.org>.