白名单,黑名单,是不是有点厌烦了?一起来玩灰名单吧!

灰名单是什么呢?

这个~~~其实,小A自己编的,就好像牛奶加黑咖会变成奶咖一样,当然你也可以安照这个道理叫它奶油名单,哈哈~~

灰名单有什么功能呢?

灰名单大多是用来解决规则精简的时候用的,比如纯黑的规则会编辑一大堆的阻止项目,纯白的名单会编辑一大堆的排除项目。

当规则的整体架构定下来之后,就很难去改变它。但是程序它可不来管你,比如QQ和讯雷这些东西,需要很多的排除(例外)端口,如果写白名单,很痛苦,因为它们不会像微软一样为自己每一个程序的端口做出专门的解释。(这也是大公司和小公司的本质区别。)

用黑名单就很方便了。

规则可以这样写:

xunlei.Network{
TCP: 0-1024 block
TCP/UDP: Allow All
}
而白名单或许就要这样写:

xunlei.Network{
TCP:1025以上 allow
UDP:all allow
TCP/UDP:Block All
}
上面的例子只是一个比较不负责任的规则写法,只是为了表明黑白名单的区别。

如果要细化,还需要分别给出upnp的端口,web端口,ftp端口,讯雷服务器端口等等规则,工程量想想就知道了。

但是真的要为一个程序去修改大局么?一点必要都没有!
灰名单的结构

+–
|
+–白
|
+–黑
|
+—白/黑

也就是说,大结构中嵌套相反结构的规则。

由于jetico的特殊性,所以灰名单在其他的防火墙中很难实现,但是Jetico却十分的随意。

回到讯雷的例子:

灰名单的举例:

root(白名单结构)
+
+—网络协议规则
+—程序规则
+——讯雷(黑名单结构)
|            +0-1024TCP不允许访问
|            +允许所有
|
+——下载工具xxx(白名单结构)
+允许WEB访问(80)
+允许HTTPS访问(443)
+允许代理访问(8080/81/8081/9666)
+允许FTP访问(21-23)
+阻止所有
这样是否比统一白名单或者统一黑名单要高效得多呢?

Related posts

发表评论