为了保障Linux网络的安全,安装防火墙是一个非常主要工作。这里我介绍一个工具软件,可以帮助你在Linux的GUI图形用户界面下快速构架一个防火墙。Firestarter 是一个完全的免费软件,它可以在KDE和GNOME环境下,它提供图形界面免去了在生硬的文本环境下配置防火墙的麻烦。Firestarter 的作者和开发者是芬兰人:Tomas Jounonen 和Paul Drain在http://firestarter.sourceforge.net/ 可以自由下载它的源代码你还可以使用 mailto:[email protected]%[email protected] 电子邮件和他们联系。最新版本是0.6.1。笔者下载的是它的RPM包,315安全网站上提供了它的tar包下载链接:http://www.315safe.com/showarticle.ASP?NewsID=5148。其安装方法只与rpm包的有略微不同。一、系统要求:硬件: 中央处理器:兼容 Intel X86处理器Pentium 200 以上 ,32 兆(推荐64兆)内存,100兆硬盘空间 ,显示内存4兆。软件: 内核版本 2.2以上 ,KDE 2.0以上或GNOME 1.2以上,X Window System XFree86 3.6.x 以上,桌面分辨率至少为640×480 ,桌面颜色至少6万5千色(16位元)。gtk+模块及其函数库在1.2以上, Gcc模块及其函数库在2.9以上。二、软件安装: 1、系统检测由于Cheops-ng 的开发者Tomas Jounonen和Paul Drain使用C语言和 GTK +(GIMP Tool Kit,GIMP工具包是一个用于创造图形用户接口的库)开发的,所以安装前请检查系统gtk+模块的gcc编译器版本。# rpm -qa grep gcc# rpm -qa grep gtk+ 2、安装软件以根权限登陆Linux打开一个终端:# rpm firestarter-0.6.1-1cl.i386.rpm3、配置软件系统会在/usr/bin/firestarter 建立主程序,第一次运行firestarter 需要进行简单的配置:( 1) 软件运行的主界面,见图-1。首先点击选项子菜单,进行一些简单配置,主要包括为软件建立日志文件目录、设置防火墙启动方式、设置警报声音等。设置结束后用鼠标点击"Run firewall wizard"启动防火墙配置向导。
图-1软件运行的主界面 (2) 设置网络设备,见图-2。如果你使用普通调制解调器接入互联网那么请选择PPP0,对于使用XDSL等宽带接入的设备来说选择网卡的接口即可。如果你使用的是Cable Modem接入网络的话,那么在"IP address is assigned via DHCP"前打钩。然后用鼠标按下一步按钮。
(点击查看原图)
图-2配置网络设备(3)配置Linux的服务,见图-3。系统会自动检测已经安装的服务。
(点击查看原图)
图-3配置Linux的服务 一般来说我们不要启动Linux中所有服务,应当只启动你必须的服务,有些服务比如:Finger(查询帐号) 、Telnet、NFS都是相对不安全的,我们可以用一些安全的程序代替它们,例如:可以使用SSH代替Telnet。对于一些你必须启动的服务应尽量升级到最新版本。在你认为需要的服务协议 的选项打钩后用鼠标按下一步。(4)配置ICMP包过虑,见图-4。
(点击查看原图)图-4 配置ICMP包过滤 我们知道国际控制报文(ICMP)协议工作在TCP/IP网际层,我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤, 这里简单介绍一下各选项的作用,见表-1。
回波应答(Echo Reply)
用于探测和DoS
不能到达目的地(Destination unreachable)
提高性能,用于探测
源结束(Source Quench)
提高性能
重定向(Redirect)
提高本地性能,本地DoS
回波(Echo)
用于探测和DoS
路由器公告(Router dvertisement)
仅用于本地
路由器选择(Router Selection)
仅用于本地
超时(Time Exceeded)
用于路由跟踪和探测
参数问题(Parameter Problem)
报告数据包包头错误,用于探测
时间戳(Timestamp)
用于探测
时间戳应答(Timestamp Reply)
可用于探测
地址掩码请求(Address Mask Request)
用于本地探测
地址掩码应答(Address Mask Reply)
仅用于探测路由器的应答
路由跟踪(Traceroute)
可以替代路由跟踪命令
表-1 ICMP协议内容简介ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络,或者不需要防止端口扫描的网络,可以不考虑有关ICMP的问题。然而,对于安全性至关重要的网络,则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标按下一步。最后系统会提示你配置结束。按"Finsih"按钮退出向导,后防火墙启动。见图-5。当防火墙运行时你还可以利用"Dynamic Rules"动态监控它的状态。
图-5 启动Firestarter 防火墙 总结:首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为中小型Linux网络的系统管理员 提供了良好的安全服务。它的使用简单但功能强大:如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置,那么在遭到系统入侵时 它还会发出报警铃声。Firestarter运行时只占用很少的系统资源,它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处,易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易,有安装向导引导,即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外,Firestarter的README文件里面的往释非常清楚,方便了用户的修改和重新定义某些参数。就像 Firestarter的开发者Tomas Jounonen所说的它是一个"All-in-one"的Linux防火墙。总的来说,Flrestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Llnux系统平台的安全防护,它能胜任在Linux下一般的系统安全任务。
(出处:http://www.sheup.com)