回复: 2009年7月16日[2010版瑞星防火墙 ]讲义
原帖由 shawaya 于 2009-7-16 20:44:00 发表
我想问一下 就是在黑名单 白名单那篇讲义里面 有很多等同IP规则 照这么说的话 我只需要设置一个就不需要再设置这个IP了么?
其实这个讲义是有一些偏老,IP规则不仅仅是开放端口 关闭端口 更不是禁止几个IP。
首先我们要明确这么防火墙的引擎的运行原理
防火墙引擎的启动指令流程:A、不明代码(包括扫描或攻击执行的指令)---防火墙外置规则响应这个不明代码---防火墙外置规则指向相关端口---防火墙外置规则与访问规则比对,如果访问规则优先允许,那么防火墙外置规则跳转到内置判别代码进行匹配,并引动防火墙引擎---防火墙引起启动,执行“访问规则+外置规则+内置特征判别码+相关的外置规则=端口过滤”指令;B、如果IP规则优先,那么就是外置IP规则直接指向端口并在匹配内置特征判别码和与相关规则互动后,只执行强制关闭指令,从而缺失了过滤指令的执行。
另外简单的从外置规则看IP规则 还包括了特征内容 特征长度 偏移量等 多种信息不是黑白名单能处理的。
同时也不建议过多添加黑白名单
1 黑白名单意义不大 世界上IP 有无数,你不可能全部归到黑白名单里
2 这个名单是要增加防火墙引擎负担的,过多的设置将导致防火墙引擎崩溃。
