Основные характеристики пакетных фильтров в ОС FreeBSD
Существует два основных способа создания набора правил пакетного фильтра: "inclusive" — включающий и "exclusive" — исключающий. Основное различие состоит в том, какое правило применяется по умолчанию к пакетам, не соответствующим всем остальным правилам.
Исключающий пакетный фильтр позволяет всему трафику проходить через систему, за исключением трафика, соответствующего набору правил. Включающий пакетный фильтр делает обратное. Он пропускает только тот трафик, который соответствуют правилам, и блокирует весь остальной.
Включающие пакетные фильтры считаются более безопасными, чем исключающие, потому что они существенно снижают риск того, что нежелательному трафику будет разрешено пройти через пакетный фильтр.
Дальнейшее усиление безопасности может достигаться использованием stateful firewall. Применение stateful firewall’а означает, что пакетный фильтр отслеживает открытые соединения и разрешает прохождение только того трафика, который либо соответствует существующему соединению, либо открывает новое соединение. Недостатком stateful firewall’а является то, что он уязвим для DoS-атак, если большое количество новых соединений открывается очень быстро. В большинстве случаев можно использовать комбинацию stateful и не-stateful свойств, создавая оптимальный firewall для защиты локальной сети.
