歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

如何使用GUI來配置Linux系統防火牆

  隨著帶寬的飛速擴寬,互聯網上的信息交流日益增大,毫無疑問,互聯網上的安全,操作系統平台的安全也逐漸成為人們所關心的問題。而許多網絡服務器,工作站所采用的平台為Linux/UNIX平台。Linux平台作為一個安全性、穩定性比較高的操作系統也被應用到了商業或者民用的網絡服務領域。 盡管Linux是安全系數比較高的操作系統,但是由於它作為一種動態的、還在不斷發展的操作系統,它自身仍然不可避免的存在著這樣那樣的問題。加之 Linux的發行版本十分的多,版本的升級換代頻繁,市面上仍然存在著許多存在缺陷,沒有進行安全補丁升級的Linux應用到網絡服務器中去,而 Linux的使用者,管理者的實際操作管理經驗熟練程度參差不齊,所以在互聯網時代的Linux平台中存在的安全隱患還是有的。這也給那些不道德的“黑客”找到了攻擊Linux平台的“後門”。 所以,如何把Linux的安全系數提高和如何保護Linux系統是一項很重要的工作。 在Windows平台世界裡,為微軟的Windows設計的防火牆、安全工具非常多。世界上知名的軟件開放商如賽門鐵克,Mcafee都為 Windows系統量身定做系統防火牆、殺毒軟件和防黑客軟件等等。所謂“防火牆”,是指一種將內部網和公眾訪問網(Internet)分開的方法和技術,也就是說防火牆實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“拒絕”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡,防止非法入侵者更改、拷貝、毀壞計算機中的重要信息。和Windows平台相比, Linux操作系統則顯得有些不同,由於它自身內建了相應的防火牆或相關的安全軟件,加之有經驗的系統管理員還可以按照自己的實際情況開放自己的防火牆,升級內核來解決安全問題,所以在Linux平台下專用的防火牆工具軟件並不多見。不過,這樣一來也存在不方便的地方,無論是在Linux下配置防火牆還是配置相應的安全設置,那似乎只有系統管理員和Linux高手才能完成,對於一些剛剛入門的Linux新手來說,讓他在Linux文本模式下獨立完成 Linux防火牆及其系統安全的設置幾乎是不可能的。 既然很多新手都對Windows下的快捷方便的軟件工具的設置情有獨鐘,那麼在這裡我們將向大家介紹兩款在Linux平台中基於GUI設計的防火牆工具軟件。 一種是商業版本的暴風雨防火牆(Storm Firewall),暴風雨防火牆來是自 Stormix 科技公司的產品。許多系統管理員可能對該產品比較熟悉。 另外一種是完全免費的自由軟件Firestarter,它能在GNOME桌面環境中使用。這兩種防火牆軟件都提供了圖形字符的ipchains,免去了在生硬的文本環境下配置防火牆的麻煩,讓使用家用網絡的用戶也能輕松的完成Linux平台下的防火牆安全設置。 這兩款防火牆軟件還有兩個令人滿意的優點,第一就是他們是一個非常專業的工具軟件,使得家用用戶也能夠完全配置防火牆和控制整個網絡的安全;第二就是他們非常適合那些沒有太多Linux操作經驗的用戶和只需要一些簡單功能的網絡系統管理員,幫他們快速的在計算機上建立出色的防火牆系統。 好,為了說明問題,我們將用一個簡單的家用網絡來測試這兩款防火牆工具軟件。 硬件平台: 處理器:Duron 650 操作系統:Progeny Debian GNU/Linux beta (內核是Linux Kernel 2.2.18-pre15) 接入互聯網方式:DSL,因為DSL連接使用的是PPP Over Ethernet (PPPOE)點對點方式。所以我們以ppp0來代替互聯網中傳統的接口eth0。eth1通過接入5口的集線器(HUB)來接入網關的電腦。另外一台運行Windows98平台 的Celeron 400電腦和一台運行(Celeron 600) ,Debian GNU/Linux 2.2平台的Dell Inspiron 3800 電腦也依次連接到集線器中。 如何得到Firestarter? Firestarter是一款完全免費的自由軟件,它的作者是芬蘭的Tomas Junnonen。 Firestarter在其網頁提供了下載,任何人都可以通過 http: //firestarter.sourceforge.net/下載Firestarter。它的二進制軟件包大小有120KB,裡面包括依靠GNOME 1.0 或 GNOME 1.2和為Red Hat設計的RPM包。另外,Firestarter的經過壓縮的源代碼(345KB)也提供了下載。安裝Firestarter軟件包並沒有太大的困難。不過最好是在有GNOME 1.2 庫的環境下進行安裝。Firestarter需要這些庫文件。當然在沒有GNOME菜單的系統中安裝Firestarter也是可以的。安裝完畢,在“程序/Internet”菜單中可以找到 Firestarter。 使用Firestarter: 我們可以從GNOME 的菜單或Xterm終端窗口中啟動Firestarter。需要注意的是,使用ROOT超級用戶的身份才能正確的使用Firestarter軟件。所以在啟動 Firestarter 之前,確保您是以ROOT的身份登陸Linux系統的。在啟動的Firewall 菜單中我們可以選擇Run Firewall Wizard(運行防火牆向導)。在啟動程序的時候,無論計算機中是否已經連接互聯網,Firestarter向導都會要求計算機連接互聯網的。然後這個向導會詢問用戶IP偽碼是否需要啟用,計算機系統中的網絡接口是什麼,和網絡的IP地址的范圍,哪一些服務需要暴露在互聯網中等問題。當然,18種服務將會在窗口中列出給用戶選擇,這些服務包括從 Telnet 和 POP到 NFS,及X Window中的所有服務。 通過Firestarter向導選擇相應服務 在按照向導的指示完成基本的網絡和服務器的配置以後。向導會向用戶詢問與ICMP過濾相關的問題。Firestarter能為ICMP包提供8種不同的過濾器。如果您對 LAN和服務器的基本配置熟悉的話,按照這個向導的指導去配置只需要8步就能完成向導設置並運行防火牆。Firestarter防火牆運行之後就立即起作用了,它的“Firewall Hits”會忠實地不斷的給我們通過一個IMAP服務器提供一個安全報告。我們可以從中看到我們運行的程序的動態規則(Dynamic Rule)。這對我們查看系統中運行的程序和進程有很大的好處,我們可以直觀的發現系統的運行概況,這樣使得我們即時的調整我們的防火牆設置。另外,這個防火牆還可以添加我們指定的計算機或者阻止某些“不友好”的計算機的訪問,還可以在網絡中控制某台聯網計算機的啟動和關閉。這些功能實在是很方便Linux超級用戶在網絡中管理 計算機的。 Firestarter的動態監控 Firestarter防火牆界面中除了有動態規則跳格設定之外,還有一個綠色的“開始” 和一個紅色的“停止”按鍵,配置功能允許用戶自定義當防火牆遇到入侵時的警報聲音,用戶還可以改變Firestarter防火牆在程序的啟動和停止時的動作,用戶通過 Firestarter防火牆也可以指定特殊的通訊端口,可以關閉某些端口,讓這些端口不能被登陸或訪問。 Firestarter防火牆還提供了一個可以讓用戶修改和編程的腳本文件,存放在 /usr/local/etc/firestarter/firewall.sh目錄下。用戶可以把它嵌入 rc.local 中或者把它連接到 /etc/init.d 使得防火牆可以在系統啟動時一起隨系統啟動。這也就是說這個防火牆程序只需要一個啟動就夠了,用戶不再需要去理會它,除非用戶想要再次對防火牆的參數進行修改。 對Firestarter的評價: 首先肯定的說Firestarter防火牆是一款非常優秀的基於GUI圖形用戶界面下的,完全免費的自由軟件,它為小型網絡和僅僅需要一些簡單功能的 Linux系統管理員提供了良好的安全服務。它的使用簡單,就和操作GNOME應用軟件一樣方便。 Firestarter沒有多余臃腫的功能,它為Linux平台提供了快捷有效的防護功能。並且在系統出現異常情況的時候能及時的向管理員通知及相關信息,以幫助系統管理員及時的對系統作出相應的處理和反應。Firestarter防火牆在程序運行後在系統桌面的任務條菜單處,易於迅速的啟動和關閉網絡中指定的計算機。Firestarter的安裝十分容易,有安裝向導引導,即使是對Linux 軟件不熟悉的用戶也能通過向導輕松完成防火牆的安裝和設置。另外,Firestarter的腳本文件裡面的注釋非常清楚,方便了用戶的修改和重新定義某些參數。總的來說,Firestarter防火牆適用於單機工作站、服務器、小型網絡服務器和家用Linux系統平台的安全防護,它能勝任在Linux下一般的系統安全任務。 Storm Firewall防火牆簡介 如何得到Storm Firewall防火牆: 上面我們介紹的是一款免費的防火牆軟件,現在我們接下來要介紹的是一款商業版本的專業Linux平台下的防火牆Storm Firewall。這款名為“暴風雨”的防火牆聽名字就顯得強勁威猛。它是由Stormix科技公司(http: //www.stormlinux.com/)出品。售價為99.95美元。如果在網上購買的話可以少10美元。作為商業版本的防火牆軟件,每一個 Storm防火牆的拷貝版本提供了60天的電話技術支持和90天的電子郵件安裝支持。Storm防火牆還附有113頁的用戶手冊。不過Storm防火牆對系統的要求有些苛刻,它聲稱只支持Red Hat 6.x ,Storm Linux 2000和 Debian 2.2 這3個Linux版本的平台。只有在這3個“已知的” Linux平台上,Storm防火牆才能運行。 在安裝防火牆的時候選擇服務項目 通過試驗,在我們的Progeny Debian系統中安裝Storm防火牆是通過一個簡單的文本安裝界面進行的,安裝後Storm防火牆的圖標出現在GNOME和KDE的菜單上。查看 Storm防火牆的用戶手冊,上面說明了這個文本安裝界面允許用戶可以嘗試在不是以上3個得到Storm防火牆認證的Linux版本上進行安裝。實際上安裝的過程和安裝其他Linux下的軟件包沒有什麼太大的區別。不過,如果你發現在安裝的時候出現了錯誤,這很可能是你得到的Storm防火牆版本過於陳舊,你可以升級Storm防火牆,得到最新的安裝版本的CD後可以使用rpm -ihv或者dpkg -i命令再次進行安裝。這可能是Storm公司的一個Bug,不過該公司說該Bug已經被修正了。 Storm防火牆安裝向導 關於使用手冊: 這本113頁的用戶使用手冊的印刷質量非常好。一般來說,產品提供用戶手冊是為了用戶在使用產品遇到困難時可以提供幫助和釋疑的手冊,這本手冊關於 Storm防火牆的安裝和Storm防火牆的安全性等都進行了是非常徹底的介紹。比起免費的非商業版本的軟件來說,商業版本的軟件就是有這樣的好處。不過,該手冊裡提供了超過42頁的和Storm防火牆無關的東西,卻是有點讓人不解。從42頁的章節開始就介紹了諸如TCP,UDP還有代理堆棧等內容。總的來說,這本手冊介紹的關於Storm防火牆方面的內容指南還是很通俗易懂的。在手冊的最後一個章節裡主要講述了如何響應和對付他人掃描計算機端口准備進行非法入侵的手段。 設置允許或阻塞的協議 運行Storm防火牆: 和 Firestarter防火牆一樣,Storm防火牆也是提供了基於GUI的 ipchains。運行 Storm防火牆之後,Storm防火牆也會有一個安裝向導詢問用戶是否使用默認的安全模式。用戶可以選擇為IP偽裝設計的“默認模式”,這種模式可以自動的使得大多數通訊量自由的在安全保護模式下流通。用戶還可以對Storm防火牆進行自定義的安全配置。據Storm公司的工程師介紹,如果是家用用戶或不在互聯網上暴露太多服務的計算機的話,使用默認模式就可以了,默認模式下那些參數設置足以滿足家用網絡或小型網絡的安全需求。用戶也可以選擇“默認阻塞”模式,這個模式也允許所有的通訊流量正常流通,除非用戶再次定義配置參數。一旦某種安全模式選定,用戶必須要告訴 Storm防火牆這台計算機上是使用哪一個通訊接口來上傳數據和與互聯網相連接,這樣就能使得 Storm防火牆配置IP偽裝參數和內部網絡偽碼參數。Storm防火牆也可以選擇阻塞某一個IP地址和源郵件路由。不過不能把一些偽碼參數限定得太死了,因為有些聯網的游戲需要通過端口進行數據通訊。整個Storm防火牆的安裝向導不超過12次鼠標點擊,可以說安裝還是非常快捷方便的。 Storm防火牆的高級設置 使用向導的基本配置就能完成整個Storm防火牆的參數設置了。具體的參數設置還要根據不同的實際需要而進行調整。這些操作都可以參考Storm防火牆手冊的指導步驟進行。例如,一位家用用戶在安裝Storm防火牆時采用的是“默認模式”,該用戶想關閉網絡中的一些正在運行的服務,那麼這時有些可用的端口該用戶也想關閉它。 Storm防火牆就提供了4種那樣方便的功能的跳格設定。其中兩個跳格設定用來保護輸入輸出協議,另外兩個跳格設定負責保護輸入輸出服務。這樣就十分的安全了。 在“默認模式”下還有一個各種協議類型的列表,用戶可以從中選擇一個適當的協議作為防火牆指定阻塞的協議。例如你選擇了 ICMP和VMTP協議,那麼從ICMP到VMTP協議的所有通訊數據都會被防火牆阻塞,那些數據無法進入LAN網絡。這樣用戶就不必擔心黑客們通過某種協議的漏洞來入侵計算機,通訊協議的主動權完全掌握在用戶的手裡。為了能更好的管理和控制協議,Storm防火牆還提供了一個可修改的規則編輯器,可以讓用戶自己修改相應的參數來控制Storm防火牆的工作。可以通過修改規則參數來創建自己的專用鏈表。和FireStarter防火牆一樣,Storm防火牆也提供了腳本文件,存放在/etc/init.d目錄中,用戶可以對這個腳本文件進行修改。這個腳本文件主要是被中央模塊所調用,計算機啟動的時候自動調用這個腳本文件。 Storm防火牆自動記錄的LOG文件 對Storm防火牆的評價: 作為真正的商業版本的Linux應用軟件,將近100美元的價格確實是讓人感到有些貴了。因為多數自由軟件都是免費的。但是為了Linux系統的安全,特別是用在商業用途的Linux服務器、工作站,花上100美元購買一個基於GUI圖形用戶界面的Storm防火牆還是很值得的。 首先,Storm防火牆的服務相當好,除了有電話技術支持、電子郵件支持之外,更重要的是它的用戶手冊十分令人滿意。因為在零售店單獨購買和手冊差不多內容的圖書也要花上40美元的. 其次,作為一款專業的防火牆,它的性能是優秀的,我們介紹的只是Storm 防火牆的一小部分用途,更多的Storm防火牆優點還要等待讀者去使用和發掘。和前面介紹的第一款防火牆相比,Storm防火牆就顯得更加專業和標准了。我們在這裡熱切的向大家推薦這款優秀的防火牆軟件。Storm防火牆無論是對商業用戶還是家庭用戶都是十分合適的。




Copyright © Linux教程網 All Rights Reserved