Linux系統防火墻配置
隨著帶寬的飛速擴寬,互聯網上的信息交流日益增大,毫無疑問,互聯網上的安全,操作系統平臺的安全也逐漸成為人們所關心的問題。而許多網絡服務器,工作站所采用的平臺為Linux/UNIX平臺。Linux平臺作為一個安全性、穩定性比較高的操作系統也被應用到了商業或者民用的網絡服務領域。
盡管Linux是安全系數比較高的操作系統,但是由于它作為一種動態的、還在不斷發展的操作系統,它自身仍然不可避免的存在著這樣那樣的問題。加之Linux的發行版本十分的多,版本的升級換代頻繁,市面上仍然存在著許多存在缺陷,沒有進行安全補丁升級的Linux應用到網絡服務器中去,而Linux的使用者,管理者的實際操作管理經驗熟練程度參差不齊,所以在互聯網時代的Linux平臺中存在的安全隱患還是有的。這也給那些不道德的“黑客”找到了攻擊Linux平臺的“后門”。所以,如何把Linux的安全系數提高和如何保護Linux系統是一項很重要的工作。
在Windows平臺世界里,為微軟的Windows設計的防火墻、安全工具非常多。世界上知名的軟件開放商如賽門鐵克,Mcafee都為Windows系統量身定做系統防火墻、殺毒軟件和防黑客軟件等等。所謂“防火墻”,是指一種將內部網和公眾訪問網(Internet)分開的方法和技術,也就是說防火墻實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“拒絕”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止非法入侵者更改、拷貝、毀壞計算機中的重要信息。和Windows平臺相比,Linux操作系統則顯得有些不同,由于它自身內建了相應的防火墻或相關的安全軟件,加之有經驗的系統管理員還可以按照自己的實際情況開放自己的防火墻,升級內核來解決安全問題,所以在Linux平臺下專用的防火墻工具軟件并不多見。不過,這樣一來也存在不方便的地方,無論是在Linux下配置防火墻還是配置相應的安全設置,那似乎只有系統管理員和Linux高手才能完成,對于一些剛剛入門的Linux新手來說,讓他在Linux文本模式下獨立完成Linux防火墻及其系統安全的設置幾乎是不可能的。
既然很多新手都對Windows下的快捷方便的軟件工具的設置情有獨鐘,那么在這里我們將向大家介紹兩款在Linux平臺中基于GUI設計的防火墻工具軟件。
一種是商業版本的暴風雨防火墻(Storm Firewall),暴風雨防火墻來是自Stormix科技公司的產品。許多系統管理員可能對該產品比較熟悉。
另外一種是完全免費的自由軟件Firestarter,它能在GNOME桌面環境中使用。這兩種防火墻軟件都提供了圖形字符的ipchains,免去了在生硬的文本環境下配置防火墻的麻煩,讓使用家用網絡的用戶也能輕松的完成Linux平臺下的防火墻安全設置。
這兩款防火墻軟件還有兩個令人滿意的優點,第一就是他們是一個非常專業的工具軟件,使得家用用戶也能夠完全配置防火墻和控制整個網絡的安全;第二就是他們非常適合那些沒有太多Linux操作經驗的用戶和只需要一些簡單功能的網絡系統管理員,幫他們快速的在計算機上建立出色的防火墻系統。
好,為了說明問題,我們將用一個簡單的家用網絡來測試這兩款防火墻工具軟件。
#p#
隨著帶寬的飛速擴寬,互聯網上的信息交流日益增大,毫無疑問,互聯網上的安全,操作系統平臺的安全也逐漸成為人們所關心的問題。而許多網絡服務器,工作站所采用的平臺為Linux/UNIX平臺。Linux平臺作為一個安全性、穩定性比較高的操作系統也被應用到了商業或者民用的網絡服務領域。
隨著帶寬的飛速擴寬,互聯網上的信息交流日益增大,毫無疑問,互聯網上的安全,操作系統平臺的安全也逐漸成為人們所關心的問題。而許多網絡服務器,工作站所采用的平臺為Linux/UNIX平臺。Linux平臺作為一個安全性、穩定性比較高的操作系統也被應用到了商業或者民用的網絡服務領域。
盡管Linux是安全系數比較高的操作系統,但是由于它作為一種動態的、還在不斷發展的操作系統,它自身仍然不可避免的存在著這樣那樣的問題。加之Linux的發行版本十分的多,版本的升級換代頻繁,市面上仍然存在著許多存在缺陷,沒有進行安全補丁升級的Linux應用到網絡服務器中去,而Linux的使用者,管理者的實際操作管理經驗熟練程度參差不齊,所以在互聯網時代的Linux平臺中存在的安全隱患還是有的。這也給那些不道德的“黑客”找到了攻擊Linux平臺的“后門”。所以,如何把Linux的安全系數提高和如何保護Linux系統是一項很重要的工作。
在Windows平臺世界里,為微軟的Windows設計的防火墻、安全工具非常多。世界上知名的軟件開放商如賽門鐵克,Mcafee都為Windows系統量身定做系統防火墻、殺毒軟件和防黑客軟件等等。所謂“防火墻”,是指一種將內部網和公眾訪問網(Internet)分開的方法和技術,也就是說防火墻實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“拒絕”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止非法入侵者更改、拷貝、毀壞計算機中的重要信息。和Windows平臺相比,Linux操作系統則顯得有些不同,由于它自身內建了相應的防火墻或相關的安全軟件,加之有經驗的系統管理員還可以按照自己的實際情況開放自己的防火墻,升級內核來解決安全問題,所以在Linux平臺下專用的防火墻工具軟件并不多見。不過,這樣一來也存在不方便的地方,無論是在Linux下配置防火墻還是配置相應的安全設置,那似乎只有系統管理員和Linux高手才能完成,對于一些剛剛入門的Linux新手來說,讓他在Linux文本模式下獨立完成Linux防火墻及其系統安全的設置幾乎是不可能的。
既然很多新手都對Windows下的快捷方便的軟件工具的設置情有獨鐘,那么在這里我們將向大家介紹兩款在Linux平臺中基于GUI設計的防火墻工具軟件。
一種是商業版本的暴風雨防火墻(Storm Firewall),暴風雨防火墻來是自Stormix科技公司的產品。許多系統管理員可能對該產品比較熟悉。
另外一種是完全免費的自由軟件Firestarter,它能在GNOME桌面環境中使用。這兩種防火墻軟件都提供了圖形字符的ipchains,免去了在生硬的文本環境下配置防火墻的麻煩,讓使用家用網絡的用戶也能輕松的完成Linux平臺下的防火墻安全設置。
這兩款防火墻軟件還有兩個令人滿意的優點,第一就是他們是一個非常專業的工具軟件,使得家用用戶也能夠完全配置防火墻和控制整個網絡的安全;第二就是他們非常適合那些沒有太多Linux操作經驗的用戶和只需要一些簡單功能的網絡系統管理員,幫他們快速的在計算機上建立出色的防火墻系統。
好,為了說明問題,我們將用一個簡單的家用網絡來測試這兩款防火墻工具軟件。
硬件平臺:
處理器:Duron 650
操作系統:Progeny Debian GNU/Linux beta (內核是LinuxKernel2.2.18-pre15)
接入互聯網方式:DSL,因為DSL連接使用的是PPP OverEthernet(PPPOE)點對點方式。所以我們以ppp0來代替互聯網中傳統的接口eth0。eth1通過接入5口的集線器(HUB)來接入網關的電腦。另外一臺運行Windows98平臺的Celeron400電腦和一臺運行(Celeron 600) ,Debian GNU/Linux 2.2平臺的DellInspiron 3800電腦也依次連接到集線器中。
如何得到Firestarter?
Firestarter是一款完全免費的自由軟件,它的作者是芬蘭的TomasJunnonen。Firestarter在其網頁提供了下載,任何人都可以通過http://firestarter.sourceforge.net/下載Firestarter。它的二進制軟件包大小有120KB,里面包括依靠GNOME1.0或 GNOME1.2和為RedHat設計的RPM包。另外,Firestarter的經過壓縮的源代碼(345KB)也提供了下載。安裝Firestarter軟件包并沒有太大的困難。不過最好是在有GNOME1.2庫的環境下進行安裝。Firestarter需要這些庫文件。當然在沒有GNOME菜單的系統中安裝Firestarter也是可以的。安裝完畢,在“程序/Internet”菜單中可以找到Firestarter。
使用Firestarter:
我們可以從GNOME的菜單或Xterm終端窗口中啟動Firestarter。需要注意的是,使用ROOT超級用戶的身份才能正確的使用Firestarter軟件。所以在啟動Firestarter之前,確保您是以ROOT的身份登陸Linux系統的。在啟動的Firewall菜單中我們可以選擇RunFirewallWizard(運行防火墻向導)。在啟動程序的時候,無論計算機中是否已經連接互聯網,Firestarter向導都會要求計算機連接互聯網的。然后這個向導會詢問用戶IP偽碼是否需要啟用,計算機系統中的網絡接口是什么,和網絡的IP地址的范圍,哪一些服務需要暴露在互聯網中等問題。當然,18種服務將會在窗口中列出給用戶選擇,這些服務包括從Telnet和 POP到 NFS,及X Window中的所有服務。
通過Firestarter向導選擇相應服務
在按照向導的指示完成基本的網絡和服務器的配置以后。向導會向用戶詢問與ICMP過濾相關的問題。Firestarter能為ICMP包提供8種不同的過濾器。如果您對LAN和服務器的基本配置熟悉的話,按照這個向導的指導去配置只需要8步就能完成向導設置并運行防火墻。Firestarter防火墻運行之后就立即起作用了,它的“FirewallHits”會忠實地不斷的給我們通過一個IMAP服務器提供一個安全報告。我們可以從中看到我們運行的程序的動態規則(DynamicRule)。這對我們查看系統中運行的程序和進程有很大的好處,我們可以直觀的發現系統的運行概況,這樣使得我們即時的調整我們的防火墻設置。另外,這個防火墻還可以添加我們指定的計算機或者阻止某些“不友好”的計算機的訪問,還可以在網絡中控制某臺聯網計算機的啟動和關閉。這些功能實在是很方便Linux超級用戶在網絡中管理計算機的。
Firestarter的動態監控
Firestarter防火墻界面中除了有動態規則跳格設定之外,還有一個綠色的“開始”和一個紅色的“停止”按鍵,配置功能允許用戶自定義當防火墻遇到入侵時的警報聲音,用戶還可以改變Firestarter防火墻在程序的啟動和停止時的動作,用戶通過Firestarter防火墻也可以指定特殊的通訊端口,可以關閉某些端口,讓這些端口不能被登陸或訪問。Firestarter防火墻還提供了一個可以讓用戶修改和編程的腳本文件,存放在/usr/local/etc/firestarter/firewall.sh目錄下。用戶可以把它嵌入rc.local中或者把它連接到/etc/init.d使得防火墻可以在系統啟動時一起隨系統啟動。這也就是說這個防火墻程序只需要一個啟動就夠了,用戶不再需要去理會它,除非用戶想要再次對防火墻的參數進行修改。
對Firestarter的評價:
首先肯定的說Firestarter防火墻是一款非常優秀的基于GUI圖形用戶界面下的,完全免費的自由軟件,它為小型網絡和僅僅需要一些簡單功能的Linux系統管理員提供了良好的安全服務。它的使用簡單,就和操作GNOME應用軟件一樣方便。
Firestarter沒有多余臃腫的功能,它為Linux平臺提供了快捷有效的防護功能。并且在系統出現異常情況的時候能及時的向管理員通知及相關信息,以幫助系統管理員及時的對系統作出相應的處理和反應。Firestarter防火墻在程序運行后在系統桌面的任務條菜單處,易于迅速的啟動和關閉網絡中指定的計算機。Firestarter的安裝十分容易,有安裝向導引導,即使是對Linux軟件不熟悉的用戶也能通過向導輕松完成防火墻的安裝和設置。另外,Firestarter的腳本文件里面的注釋非常清楚,方便了用戶的修改和重新定義某些參數。總的來說,Firestarter防火墻適用于單機工作站、服務器、小型網絡服務器和家用Linux系統平臺的安全防護,它能勝任在Linux下一般的系統安全任務。
Storm Firewall防火墻簡介
如何得到Storm Firewall防火墻:
上面我們介紹的是一款免費的防火墻軟件,現在我們接下來要介紹的是一款商業版本的專業Linux平臺下的防火墻StormFirewall。這款名為“暴風雨”的防火墻聽名字就顯得強勁威猛。它是由Stormix科技公司(http://www.stormlinux.com/)出品。售價為99.95美元。如果在網上購買的話可以少10美元。作為商業版本的防火墻軟件,每一個Storm防火墻的拷貝版本提供了60天的電話技術支持和90天的電子郵件安裝支持。Storm防火墻還附有113頁的用戶手冊。不過Storm防火墻對系統的要求有些苛刻,它聲稱只支持RedHat6.x ,Storm Linux 2000和 Debian 2.2這3個Linux版本的平臺。只有在這3個“已知的”Linux平臺上,Storm防火墻才能運行。
在安裝防火墻的時候選擇服務項目
通過試驗,在我們的ProgenyDebian系統中安裝Storm防火墻是通過一個簡單的文本安裝界面進行的,安裝后Storm防火墻的圖標出現在GNOME和KDE的菜單上。查看Storm防火墻的用戶手冊,上面說明了這個文本安裝界面允許用戶可以嘗試在不是以上3個得到Storm防火墻認證的Linux版本上進行安裝。實際上安裝的過程和安裝其他Linux下的軟件包沒有什么太大的區別。不過,如果你發現在安裝的時候出現了錯誤,這很可能是你得到的Storm防火墻版本過于陳舊,你可以升級Storm防火墻,得到最新的安裝版本的CD后可以使用rpm-ihv或者dpkg-i命令再次進行安裝。這可能是Storm公司的一個Bug,不過該公司說該Bug已經被修正了。
Storm防火墻安裝向導
關于使用手冊:
這本113頁的用戶使用手冊的印刷質量非常好。一般來說,產品提供用戶手冊是為了用戶在使用產品遇到困難時可以提供幫助和釋疑的手冊,這本手冊關于Storm防火墻的安裝和Storm防火墻的安全性等都進行了是非常徹底的介紹。比起免費的非商業版本的軟件來說,商業版本的軟件就是有這樣的好處。不過,該手冊里提供了超過42頁的和Storm防火墻無關的東西,卻是有點讓人不解。從42頁的章節開始就介紹了諸如TCP,UDP還有代理堆棧等內容。總的來說,這本手冊介紹的關于Storm防火墻方面的內容指南還是很通俗易懂的。在手冊的最后一個章節里主要講述了如何響應和對付他人掃描計算機端口準備進行非法入侵的手段。
設置允許或阻塞的協議
運行Storm防火墻:
和 Firestarter防火墻一樣,Storm防火墻也是提供了基于GUI的ipchains。運行Storm防火墻之后,Storm防火墻也會有一個安裝向導詢問用戶是否使用默認的安全模式。用戶可以選擇為IP偽裝設計的“默認模式”,這種模式可以自動的使得大多數通訊量自由的在安全保護模式下流通。用戶還可以對Storm防火墻進行自定義的安全配置。據Storm公司的工程師介紹,如果是家用用戶或不在互聯網上暴露太多服務的計算機的話,使用默認模式就可以了,默認模式下那些參數設置足以滿足家用網絡或小型網絡的安全需求。用戶也可以選擇“默認阻塞”模式,這個模式也允許所有的通訊流量正常流通,除非用戶再次定義配置參數。一旦某種安全模式選定,用戶必須要告訴Storm防火墻這臺計算機上是使用哪一個通訊接口來上傳數據和與互聯網相連接,這樣就能使得Storm防火墻配置IP偽裝參數和內部網絡偽碼參數。Storm防火墻也可以選擇阻塞某一個IP地址和源郵件路由。不過不能把一些偽碼參數限定得太死了,因為有些聯網的游戲需要通過端口進行數據通訊。整個Storm防火墻的安裝向導不超過12次鼠標點擊,可以說安裝還是非常快捷方便的。
Storm防火墻的高級設置
使用向導的基本配置就能完成整個Storm防火墻的參數設置了。具體的參數設置還要根據不同的實際需要而進行調整。這些操作都可以參考Storm防火墻手冊的指導步驟進行。例如,一位家用用戶在安裝Storm防火墻時采用的是“默認模式”,該用戶想關閉網絡中的一些正在運行的服務,那么這時有些可用的端口該用戶也想關閉它。Storm防火墻就提供了4種那樣方便的功能的跳格設定。其中兩個跳格設定用來保護輸入輸出協議,另外兩個跳格設定負責保護輸入輸出服務。這樣就十分的安全了。
在“默認模式”下還有一個各種協議類型的列表,用戶可以從中選擇一個適當的協議作為防火墻指定阻塞的協議。例如你選擇了ICMP和VMTP協議,那么從ICMP到VMTP協議的所有通訊數據都會被防火墻阻塞,那些數據無法進入LAN網絡。這樣用戶就不必擔心黑客們通過某種協議的漏洞來入侵計算機,通訊協議的主動權完全掌握在用戶的手里。為了能更好的管理和控制協議,Storm防火墻還提供了一個可修改的規則編輯器,可以讓用戶自己修改相應的參數來控制Storm防火墻的工作。可以通過修改規則參數來創建自己的專用鏈表。和FireStarter防火墻一樣,Storm防火墻也提供了腳本文件,存放在/etc/init.d目錄中,用戶可以對這個腳本文件進行修改。這個腳本文件主要是被中央模塊所調用,計算機啟動的時候自動調用這個腳本文件。
Storm防火墻自動記錄的LOG文件
對Storm防火墻的評價:
作為真正的商業版本的Linux應用軟件,將近100美元的價格確實是讓人感到有些貴了。因為多數自由軟件都是免費的。但是為了Linux系統的安全,特別是用在商業用途的Linux服務器、工作站,花上100美元購買一個基于GUI圖形用戶界面的Storm防火墻還是很值得的。
首先,Storm防火墻的服務相當好,除了有電話技術支持、電子郵件支持之外,更重要的是它的用戶手冊十分令人滿意。因為在零售店單獨購買和手冊差不多內容的圖書也要花上40美元的.其次,作為一款專業的防火墻,它的性能是優秀的,我們介紹的只是Storm防火墻的一小部分用途,更多的Storm防火墻優點還要等待讀者去使用和發掘。和前面介紹的第一款防火墻相比,Storm防火墻就顯得更加專業和標準了。我們在這里熱切的向大家推薦這款優秀的防火墻軟件。Storm防火墻無論是對商業用戶還是家庭用戶都是十分合適的。
【編輯推薦】
