例如,如果我将PCconfiguration为通过HTTP浏览Web,并且拒绝了所有入站和出站请求和响应,我是否需要仅将端口80打开为出站请求,还是需要打开端口80以出站和入站请求?
你的问题有点模糊。 有许多不同的防火墙实现。
在旧的低端防火墙(无状态数据包filter),你必须编写规则,允许或拒绝双向的stream量。 现在大多数防火墙都是有状态的 。 如果以正确的方式build立规则,那么你可以写一条规则来允许build立连接,一旦build立了连接,其他的事情都将被允许。 您仍然可以在大多数有状态的防火墙上编写无状态规则。
一个基于linux iptables的防火墙可以设置像这样的状态连接。 注意我只有一个明确的规则来传入连接到mysql服务器,传出将由ESTABLISHED规则处理。
# permit established connections iptables -t filter -A FORWARD -m state --state ESTABLISHED -j ACCEPT # permit incoming requests to a mysql server iptables -t filter -A FORWARD -p tcp --destination mysql.server.ip --dport 3306 \ -m state --state NEW\,ESTABLISHED -j ACCEPT 如果你对你所使用的防火墙不是基于Linux的话,你几乎可以肯定需要深入研究这个特定防火墙的文档。