2数据包过滤基本准则 最早的包过滤是在路由器上进行的。通过对路由表的配置,来决定数据包 是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述:一条过滤规 则规定了允许数据包流进或流出内部网络的一个条件。 在制定了数据包过滤规则后,对于每一个数据包,路由器会从第一条规则 开始诸条进行检査,最后决定该数据包是否符合过滤逻辑。 数据包规则的应用有两种策略: 默认接受:一切未被禁止的,就是允许的。即除明确指定禁止的数据 包,其他都是允许通过的。这也称为“黑名单”策略。 默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据 包,其他都是被禁止的。这也称为“白名单”策略。 从安全的角度,默认拒绝应该更可靠。 此外,包过滤还有禁入和禁出的区别。前者不允许指定的数据包由外部 网络流入内部网络,后者不允许指定的数据包由内部网络流入外部网络2. 数据包过滤基本准则 最早的包过滤是在路由器上进行的。通过对路由表的配置，来决定数据包 是否符合过滤规则。数据包的过滤规则由一些规则逻辑描述：一条过滤规 则规定了允许数据包流进或流出内部网络的一个条件。 在制定了数据包过滤规则后，对于每一个数据包，路由器会从第一条规则 开始诸条进行检查，最后决定该数据包是否符合过滤逻辑。 数据包规则的应用有两种策略： ▪ 默认接受：一切未被禁止的，就是允许的。即除明确指定禁止的数据 包，其他都是允许通过的。这也称为“黑名单”策略。 ▪ 默认拒绝：一切未被允许的，就是禁止的。即除明确指定通过的数据 包，其他都是被禁止的。这也称为“白名单”策略。 从安全的角度，默认拒绝应该更可靠。 此外，包过滤还有禁入和禁出的区别。前者不允许指定的数据包由外部 网络流入内部网络，后者不允许指定的数据包由内部网络流入外部网络