顶级防火墙LooknStop的配置详解(2)

　　二. 原理篇：规则与通信

　　以前我们介绍过防火墙的原理，在里面，我提到了“防火墙规则”（Firewall Rules），规则是防火墙的思维，它们其实是一条条描述语句，用于设置防火墙行为等，每一条规则都对应了一种特定的行为判断，防火墙根据规则的内容对符合条件（端口、协议类型、甚至包数据）的数据包给予拦截或通行，当然也可以记录数据。众多的规则结合，防火墙工具才得以给我们带来一个牢固而灵活的安全保护体系。

　　配置防火墙规则往往是网络管理员最头痛的事情，一个防火墙的工作效率、拦截放行、总体安全系数除了要求防火墙的引擎功能强大以外，就全看规则的设置了，如果防火墙引擎不能识别复杂的数据包结构，那么一些描述复杂的规则就不能正常工作，但是一个防火墙越强大，其相应的规则设置也就更复杂，对这种防火墙而言，一条好的规则就比什么都重要了。

　　规则并不是随便设置的，它围绕着一定的“安全策略”实施，许多防火墙产品在市场上出售时，就已经有了默认规则，而这些规则就是厂商的“安全策略”的实体对象，许多用户安装或购买一个防火墙产品后，就一直没对这些规则做过修改，或者不知道防火墙规则的存在，但是他们依然能得到防火墙的保护，就是因为厂商已经为广大群体套用了“兼容的”规则集合，换句话说，就是用户在接受一款防火墙产品的时候，就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人，有时候，一些用户会觉得默认规则不太适合自己的实际环境，他们便会根据自己的要求，修改增加这个规则集合，例如一台网站服务器，使用的防火墙默认规则里限制了外部对1024以下低端口号的访问，这显然就和做网站需要开放80端口的要求冲突了，所以网络管理员会修改防火墙规则，去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道，他们删改或增加规则的行为，其实就是自身“安全策略”的实施过程。

　　但是在把安全策略转化为规则实体之前，我们还必须慎密的思考一件事情，那就是“安全体系结构”。