本节书摘来自异步社区《Linux防火墙（第4版）》一书中的第2章，第2.2节，作者：【美】Steve Suehring（史蒂夫 苏哈林）著，更多章节内容可以访问云栖社区“异步社区”公众号查看

2.2　选择一个默认的数据包过滤策略

就像本章前面所说的那样，防火墙是一个实现访问控制策略的设备。这个策略的大部分的决策基于一个默认的防火墙策略。

实现一个默认的防火墙策略有两种方法：

• 默认拒绝所有消息，明确地允许选定的数据包通过防火墙；
• 默认接受所有消息，明确地拒绝选定的数据包通过防火墙。

毫无疑问，推荐的方法是默认拒绝所有消息的策略。这种方法可以更容易地建立一个安全的防火墙，但您需要的每项服务和相关的事务协议必须被明确地启用（见图2.3）。

这意味着您必须了解您启用的每一项通信协议。“拒绝所有消息”的方法需要更多的工作来保证互联网接入。一些商业防火墙产品只支持“拒绝所有消息”的策略。

“接受所有消息”的策略使构建防火墙更加容易并且可以立刻运行。但它迫使您预见到您要关闭的所有可以想象到的访问类型（见图2.4）。这样做的危险是您并不能预期到某一危险的访问类型，直到这一切已经太迟了。或者您可能在后来启用一个不安全的服务，而并没有首先阻止外部访问到它。最后，开发一个安全的“接受所有消息”防火墙需要更多的工作，并且难度高得多，几乎总是更不安全，因而更加容易出错。