1.3.4　白名单机制

白名单机制（Whitelisting）明确定义什么是被允许的，而拒绝所有其他情况。

白名单机制和黑名单机制（Blacklisting）相对，后者明确定义了什么是不被允许的，而允许所有其他情况。单纯使用黑名单机制的显而易见的缺陷是，在很多情况下，我们无法穷尽所有可能的威胁；另外，单纯使用黑名单机制，也可能会给黑客通过各种变形而绕过的机会。使用白名单机制的好处是，那些未被预期到的新的威胁也是被阻止的。例如，在设置防火墙规则时，最佳实践是在规则最后设置成拒绝所有其他连接而不是允许所有其他连接。本书第2章中就使用了这一原则来进行网络防护。