11、网络安全：数据包标记、桥接防火墙与主动防御策略

网络安全：数据包标记、桥接防火墙与主动防御策略

1. 数据包标记机制

PF提供了数据包标记这一分类和过滤机制。实施数据包标记的有效方式是，对匹配特定通过规则的传入数据包进行标记，然后根据数据包的标记标识符让其在其他地方通过。在OpenBSD 4.6及更高版本中，甚至可以有单独的匹配规则，根据匹配标准进行标记，而将通过、重定向或采取其他操作的决策留给规则集中后面的规则。

例如，对于第4章中设置的无线接入点，可能会向本地网络注入源地址等于接入点 $ext_if 地址的流量。此时，对于有多个此类接入点的网关规则集，可添加如下规则（假设 wifi_allowed 和 wifi_ports 宏的定义符合站点要求）：

wifi = "{ 10.0.0.115, 10.0.0.125, 10.0.0.135, 10.0.0.145 }" pass in on $int_if from $wifi to $wifi_allowed port $wifi_ports tag wifigood pass out on $ext_if tagged wifigood

随着规则集复杂度的增加，在传入匹配和通过规则中使用标记可以使规则集更易读和维护。标记具有粘性，一旦数据包被匹配规则标记，标记就会保留，但一个数据包在任何时候只能有一个标记。如果一个数据包匹配多个应用标记的规则，每个新的匹配标记规则都会用新标记覆盖旧标记。

2. 桥接防火墙

以太网桥由两个或多个接口组成，这些接口配置为透明转发以太网帧，且上层（如TCP/IP栈）无法直接看到它们。在过滤场景中，