世界顶级防火墙LooknStop的配置详解

这些策略列表的集合描述，就是“安全体系结构”的具体形态。

管理员决定了整体的安全体系结构后，就要开始着手实施防火墙规则的修改了，但是在“动”规则之前，还有最后一个注意事项——“规则次序”。

“规则次序”是一个不可忽略的配置部分，因为大部分防火墙产品是顺序读取规则设置的，如果发现了一条匹配的规则，那么下面的其他规则描述则被忽略掉，所以规则的排列次序决定着防火墙的运作情况，管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面，最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配，导致管理员精心设置的安全规则失效。

当所有准备工作就绪后，我们就要开始把方案转化为实体了，这就是防火墙规则设定。

前面说过了，防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句，根据防火墙核心能识别的深度差异，不同防火墙的规则定义也不尽相同，但是基本上都离不开这几个基本参数：数据包方向、数据包地址、范围、协议类型、端口号、标志位（TCP）、包类型和代码（ICMP）、以及满足条件时的防火墙动作（通行、拦截、忽略、记录）等，正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则，成为用户的安全体系结构，一款防火墙产品核心能识别的数据类型越多，相对应的规则设定就越复杂，这是一种鱼和熊掌不可兼得的事情，因此，学习防火墙规则设置是每个管理员或专业用户都必要的。

防火墙的性能取决于最终的规则设定，稍有疏错，再强大的核心也只能发挥入门级的防御了。

例如，一个用户在设置防火墙规则时取消了低端口访问限制，却遗忘了139端口可能带来的危害，不久后，该用户机器被入侵者成功连接并种植了后门。、