毛豆防火墙里的全局规则是起什么作用的呢？

vzag

RT
防火墙的全局规则

柯林

全局规则，是从IP数据包的层面进行过滤的；应用程序规则，是从TCP、UDP等层面进行的过滤。讨论这个，涉及网络传输的OSI七层模型，有兴趣可以找了看看。
简单说，防火墙有两道过滤：程序向外发送数据时，首先经过应用程序规则的检查，合格的放行，发到全局规则最后确认，通过全局规则检查才会发出去；接收数据时，首先交由全局规则检查，合乎允许通过规定的才会放行，然后交给应用程序规则检查，合乎应用程序规则规定的才会允许程序拿去使用。

vzag

回复 2楼 柯林 的帖子

谢谢柯大，理解了，就是说，毛豆墙相当于有2层规则，出的时候先用程序规则后全局规则，入的时候先用全局规则，后程序规则。是这样吧？
不过全局规则知道该怎么设置，直接用毛豆毛豆默认的那个规则够了吧？

qqq123123

回复 3楼 vzag 的帖子

大多数人要做的就是：利用全局隐身向导，设置下全局隐身即可！另外，如果需要更高的安全性，比如ICMP过滤，以及出入站端口限制，应对反弹型木马等细节设置等等，可以参考坛子里的防火墙规则加以完善！

柯林

回复 3楼 vzag 的帖子

根据OSI七层模型及TCP/IP协议，任何程序发起的数据包（tcp包、udp包、icmp包等），最终是由网卡封装成IP包在网络上进行传送的。任何计算机接收到的数据包，以使用TCP/IP协议的互联网来说，都是IP数据包。建立在网卡之上（或称之前)的防火墙，第一步就是对IP数据包进行过滤，这个就是全局规则。像系统墙之类极少数的防火墙，只有全局规则。而极大多数检测程序联网行为的防火墙，除了全局规则，还有程序规则——有的墙比较简单，只问你是否允许访问网络，高级一点的墙，会对程序收包发包的地址、端口进行控制。
根据防火墙的过滤特点，全局规则越少，效率越高，网速越快。系统墙之所以感觉快，就是因为它的全局规则，只有几条而已。所以，如果你对网速在乎，请注意全局规则的条数。

柯林

回复 5楼 柯林 的帖子

另外一个优化网速的措施，是优化DNS服务器——选择响应速度最快而失败率最低的DNS服务器，将明显改善网速。
可以使用FastDNS之类的工具进行优化。

柯林

柯林 发表于 2011-5-9 19:33
回复 3楼 vzag 的帖子

根据OSI七层模型及TCP/IP协议，任何程序发起的数据包（tcp包、udp包、icmp包等），最 ...

抱歉，回答错误，正确说法应该是，互联网上传输的数据，是以以太网帧为单位进行传输的。网卡将数据包最终封装为以太网帧进行传输。以太网帧装载ARP包、IP包等低级别协议的数据包；IP包装载TCP包、UDP包、ICMP包、IGMP包等。
很久不折腾防火墙，学过的基本东西忘掉了很多。

欧拉口

学习下啊  呵呵