网络安全:数据包标记、桥接防火墙与主动防御策略
1. 数据包标记机制
PF提供了数据包标记这一分类和过滤机制。实施数据包标记的有效方式是,对匹配特定通过规则的传入数据包进行标记,然后根据数据包的标记标识符让其在其他地方通过。在OpenBSD 4.6及更高版本中,甚至可以有单独的匹配规则,根据匹配标准进行标记,而将通过、重定向或采取其他操作的决策留给规则集中后面的规则。
例如,对于第4章中设置的无线接入点,可能会向本地网络注入源地址等于接入点 $ext_if 地址的流量。此时,对于有多个此类接入点的网关规则集,可添加如下规则(假设 wifi_allowed 和 wifi_ports 宏的定义符合站点要求):
wifi = "{ 10.0.0.115, 10.0.0.125, 10.0.0.135, 10.0.0.145 }" pass in on $int_if from $wifi to $wifi_allowed port $wifi_ports tag wifigood pass out on $ext_if tagged wifigood随着规则集复杂度的增加,在传入匹配和通过规则中使用标记可以使规则集更易读和维护。标记具有粘性,一旦数据包被匹配规则标记,标记就会保留,但一个数据包在任何时候只能有一个标记。如果一个数据包匹配多个应用标记的规则,每个新的匹配标记规则都会用新标记覆盖旧标记。
2. 桥接防火墙
以太网桥由两个或多个接口组成,这些接口配置为透明转发以太网帧,且上层(如TCP/IP栈)无法直接看到它们。在过滤场景中,
