2.7.2. 防火墙脚本的安全要求

以下是示例网络中 nftables 防火墙的要求:

  • 路由器必须能够:

    • 递归解析 DNS 查询。
    • 在回环接口上执行所有连接。

  • 内部 LAN 中的客户端必须能够:

    • 查询在路由器上运行的缓存 DNS 服务器。
    • 访问 DMZ 中的 HTTPS 服务器。
    • 访问互联网上的任何 HTTPS 服务器。
  • 管理员的 PC 必须能够使用 SSH 访问 DMZ 中的路由器和每个服务器。

  • DMZ 中的 Web 服务器必须能够:

    • 查询在路由器上运行的缓存 DNS 服务器。
    • 访问互联网上的 HTTPS 服务器以下载更新。

  • Internet 上的主机必须能够:

    • 访问 DMZ 中的 HTTPS 服务器。

  • 另外,存在以下安全要求:

    • 应丢弃未明确允许的连接尝试。
    • 应记录丢弃的数据包。