1.3.4　白名單機制

白名單機制（Whitelisting）明確定義什么是被允許的，而拒絕所有其他情況。

白名單機制和黑名單機制（Blacklisting）相對，后者明確定義了什么是不被允許的，而允許所有其他情況。單純使用黑名單機制的顯而易見的缺陷是，在很多情況下，我們無法窮盡所有可能的威脅；另外，單純使用黑名單機制，也可能會給黑客通過各種變形而繞過的機會。使用白名單機制的好處是，那些未被預(yù)期到的新的威脅也是被阻止的。例如，在設(shè)置防火墻規(guī)則時，最佳實踐是在規(guī)則最后設(shè)置成拒絕所有其他連接而不是允許所有其他連接。本書第2章中就使用了這一原則來進行網(wǎng)絡(luò)防護。