科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道如何使用GUI来配置Linux系统防火墙

如何使用GUI来配置Linux系统防火墙

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着带宽的飞速扩宽,互联网上的信息交流日益增大,毫无疑问,互联网上的安全,操作系统平台的安全也逐渐成为人们所关心的问题。而许多网络服务器,工作站所采用的平台为Linux/UNIX平台。Linux平台作为一个安全性、稳定性比较高的操作系统也被应用到了商业或者民用的网络服务领域。

来源:论坛整理 2009年2月4日

关键字: 安全管理 网络安全 防火墙

  • 评论
  • 分享微博
  • 分享邮件
随着带宽的飞速扩宽,互联网上的信息交流日益增大,毫无疑问,互联网上的安全,操作系统平台的安全也逐渐成为人们所关心的问题。而许多网络服务器,工作站所采用的平台为Linux/UNIX平台。Linux平台作为一个安全性、稳定性比较高的操作系统也被应用到了商业或者民用的网络服务领域。

  尽管Linux是安全系数比较高的操作系统,但是由于它作为一种动态的、还在不断发展的操作系统,它自身仍然不可避免的存在着这样那样的问题。加之 Linux的发行版本十分的多,版本的升级换代频繁,市面上仍然存在着许多存在缺陷,没有进行安全补丁升级的Linux应用到网络服务器中去,而 Linux的使用者,管理者的实际操作管理经验熟练程度参差不齐,所以在互联网时代的Linux平台中存在的安全隐患还是有的。这也给那些不道德的“黑客”找到了攻击Linux平台的“后门”。 所以,如何把Linux的安全系数提高和如何保护Linux系统是一项很重要的工作。

  在Windows平台世界里,为微软的Windows设计的防火墙、安全工具非常多。世界上知名的软件开放商如赛门铁克,Mcafee都为 Windows系统量身定做系统防火墙、杀毒软件和防黑客软件等等。所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法和技术,也就是说防火墙实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“拒绝”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止非法入侵者更改、拷贝、毁坏计算机中的重要信息。和Windows平台相比, Linux操作系统则显得有些不同,由于它自身内建了相应的防火墙或相关的安全软件,加之有经验的系统管理员还可以按照自己的实际情况开放自己的防火墙,升级内核来解决安全问题,所以在Linux平台下专用的防火墙工具软件并不多见。不过,这样一来也存在不方便的地方,无论是在Linux下配置防火墙还是配置相应的安全设置,那似乎只有系统管理员和Linux高手才能完成,对于一些刚刚入门的Linux新手来说,让他在Linux文本模式下独立完成 Linux防火墙及其系统安全的设置几乎是不可能的。

  既然很多新手都对Windows下的快捷方便的软件工具的设置情有独钟,那么在这里我们将向大家介绍两款在Linux平台中基于GUI设计的防火墙工具软件。

  一种是商业版本的暴风雨防火墙(Storm Firewall),暴风雨防火墙来是自 Stormix 科技公司的产品。许多系统管理员可能对该产品比较熟悉。

  另外一种是完全免费的自由软件Firestarter,它能在GNOME桌面环境中使用。这两种防火墙软件都提供了图形字符的ipchains,免去了在生硬的文本环境下配置防火墙的麻烦,让使用家用网络的用户也能轻松的完成Linux平台下的防火墙安全设置。

  这两款防火墙软件还有两个令人满意的优点,第一就是他们是一个非常专业的工具软件,使得家用用户也能够完全配置防火墙和控制整个网络的安全;第二就是他们非常适合那些没有太多Linux操作经验的用户和只需要一些简单功能的网络系统管理员,帮他们快速的在计算机上建立出色的防火墙系统。

  好,为了说明问题,我们将用一个简单的家用网络来测试这两款防火墙工具软件。

  硬件平台:

  处理器:Duron 650

  操作系统:Progeny Debian GNU/Linux beta (内核是Linux Kernel 2.2.18-pre15)

  接入互联网方式:DSL,因为DSL连接使用的是PPP Over Ethernet (PPPOE)点对点方式。所以我们以ppp0来代替互联网中传统的接口eth0。eth1通过接入5口的集线器(HUB)来接入网关的电脑。另外一台运行Windows98平台 的Celeron 400电脑和一台运行(Celeron 600) ,Debian GNU/Linux 2.2平台的Dell Inspiron 3800 电脑也依次连接到集线器中。

  如何得到Firestarter?

  Firestarter是一款完全免费的自由软件,它的作者是芬兰的Tomas Junnonen。 Firestarter在其网页提供了下载,任何人都可以通过 http: //firestarter.sourceforge.net/下载Firestarter。它的二进制软件包大小有120KB,里面包括依靠GNOME 1.0 或 GNOME 1.2和为Red Hat设计的RPM包。另外,Firestarter的经过压缩的源代码(345KB)也提供了下载。安装Firestarter软件包并没有太大的困难。不过最好是在有GNOME 1.2 库的环境下进行安装。Firestarter需要这些库文件。当然在没有GNOME菜单的系统中安装Firestarter也是可以的。安装完毕,在“程序/Internet”菜单中可以找到 Firestarter。

  使用Firestarter:

  我们可以从GNOME 的菜单或Xterm终端窗口中启动Firestarter。需要注意的是,使用ROOT超级用户的身份才能正确的使用Firestarter软件。所以在启动 Firestarter 之前,确保您是以ROOT的身份登陆Linux系统的。在启动的Firewall 菜单中我们可以选择Run Firewall Wizard(运行防火墙向导)。在启动程序的时候,无论计算机中是否已经连接互联网,Firestarter向导都会要求计算机连接互联网的。然后这个向导会询问用户IP伪码是否需要启用,计算机系统中的网络接口是什么,和网络的IP地址的范围,哪一些服务需要暴露在互联网中等问题。当然,18种服务将会在窗口中列出给用户选择,这些服务包括从 Telnet 和 POP到 NFS,及X Window中的所有服务。

  通过Firestarter向导选择相应服务

  在按照向导的指示完成基本的网络和服务器的配置以后。向导会向用户询问与ICMP过滤相关的问题。Firestarter能为ICMP包提供8种不同的过滤器。如果您对 LAN和服务器的基本配置熟悉的话,按照这个向导的指导去配置只需要8步就能完成向导设置并运行防火墙。Firestarter防火墙运行之后就立即起作用了,它的“Firewall Hits”会忠实地不断的给我们通过一个IMAP服务器提供一个安全报告。我们可以从中看到我们运行的程序的动态规则(Dynamic Rule)。这对我们查看系统中运行的程序和进程有很大的好处,我们可以直观的发现系统的运行概况,这样使得我们即时的调整我们的防火墙设置。另外,这个防火墙还可以添加我们指定的计算机或者阻止某些“不友好”的计算机的访问,还可以在网络中控制某台联网计算机的启动和关闭。这些功能实在是很方便Linux超级用户在网络中管理 计算机的。

  Firestarter的动态监控

  Firestarter防火墙界面中除了有动态规则跳格设定之外,还有一个绿色的“开始” 和一个红色的“停止”按键,配置功能允许用户自定义当防火墙遇到入侵时的警报声音,用户还可以改变Firestarter防火墙在程序的启动和停止时的动作,用户通过 Firestarter防火墙也可以指定特殊的通讯端口,可以关闭某些端口,让这些端口不能被登陆或访问。 Firestarter防火墙还提供了一个可以让用户修改和编程的脚本文件,存放在 /usr/local/etc/firestarter/firewall.sh目录下。用户可以把它嵌入 rc.local 中或者把它连接到 /etc/init.d 使得防火墙可以在系统启动时一起随系统启动。这也就是说这个防火墙程序只需要一个启动就够了,用户不再需要去理会它,除非用户想要再次对防火墙的参数进行修改。

  对Firestarter的评价:

  首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为小型网络和仅仅需要一些简单功能的 Linux系统管理员提供了良好的安全服务。它的使用简单,就和操作GNOME应用软件一样方便。

  Firestarter没有多余臃肿的功能,它为Linux平台提供了快捷有效的防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息,以帮助系统管理员及时的对系统作出相应的处理和反应。Firestarter防火墙在程序运行后在系统桌面的任务条菜单处,易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易,有安装向导引导,即使是对Linux 软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外,Firestarter的脚本文件里面的注释非常清楚,方便了用户的修改和重新定义某些参数。总的来说,Firestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Linux系统平台的安全防护,它能胜任在Linux下一般的系统安全任务。

  Storm Firewall防火墙简介

  如何得到Storm Firewall防火墙:

  上面我们介绍的是一款免费的防火墙软件,现在我们接下来要介绍的是一款商业版本的专业Linux平台下的防火墙Storm Firewall。这款名为“暴风雨”的防火墙听名字就显得强劲威猛。它是由Stormix科技公司(http: //www.stormlinux.com/)出品。售价为99.95美元。如果在网上购买的话可以少10美元。作为商业版本的防火墙软件,每一个 Storm防火墙的拷贝版本提供了60天的电话技术支持和90天的电子邮件安装支持。Storm防火墙还附有113页的用户手册。不过Storm防火墙对系统的要求有些苛刻,它声称只支持Red Hat 6.x ,Storm Linux 2000和 Debian 2.2 这3个Linux版本的平台。只有在这3个“已知的” Linux平台上,Storm防火墙才能运行。

  在安装防火墙的时候选择服务项目

  通过试验,在我们的Progeny Debian系统中安装Storm防火墙是通过一个简单的文本安装界面进行的,安装后Storm防火墙的图标出现在GNOME和KDE的菜单上。查看 Storm防火墙的用户手册,上面说明了这个文本安装界面允许用户可以尝试在不是以上3个得到Storm防火墙认证的Linux版本上进行安装。实际上安装的过程和安装其他Linux下的软件包没有什么太大的区别。不过,如果你发现在安装的时候出现了错误,这很可能是你得到的Storm防火墙版本过于陈旧,你可以升级Storm防火墙,得到最新的安装版本的CD后可以使用rpm -ihv或者dpkg -i命令再次进行安装。这可能是Storm公司的一个Bug,不过该公司说该Bug已经被修正了。

  Storm防火墙安装向导

  关于使用手册:

  这本113页的用户使用手册的印刷质量非常好。一般来说,产品提供用户手册是为了用户在使用产品遇到困难时可以提供帮助和释疑的手册,这本手册关于 Storm防火墙的安装和Storm防火墙的安全性等都进行了是非常彻底的介绍。比起免费的非商业版本的软件来说,商业版本的软件就是有这样的好处。不过,该手册里提供了超过42页的和Storm防火墙无关的东西,却是有点让人不解。从42页的章节开始就介绍了诸如TCP,UDP还有代理堆栈等内容。总的来说,这本手册介绍的关于Storm防火墙方面的内容指南还是很通俗易懂的。在手册的最后一个章节里主要讲述了如何响应和对付他人扫描计算机端口准备进行非法入侵的手段。

  设置允许或阻塞的协议

  运行Storm防火墙:

  和 Firestarter防火墙一样,Storm防火墙也是提供了基于GUI的 ipchains。运行 Storm防火墙之后,Storm防火墙也会有一个安装向导询问用户是否使用默认的安全模式。用户可以选择为IP伪装设计的“默认模式”,这种模式可以自动的使得大多数通讯量自由的在安全保护模式下流通。用户还可以对Storm防火墙进行自定义的安全配置。据Storm公司的工程师介绍,如果是家用用户或不在互联网上暴露太多服务的计算机的话,使用默认模式就可以了,默认模式下那些参数设置足以满足家用网络或小型网络的安全需求。用户也可以选择“默认阻塞”模式,这个模式也允许所有的通讯流量正常流通,除非用户再次定义配置参数。一旦某种安全模式选定,用户必须要告诉 Storm防火墙这台计算机上是使用哪一个通讯接口来上传数据和与互联网相连接,这样就能使得 Storm防火墙配置IP伪装参数和内部网络伪码参数。Storm防火墙也可以选择阻塞某一个IP地址和源邮件路由。不过不能把一些伪码参数限定得太死了,因为有些联网的游戏需要通过端口进行数据通讯。整个Storm防火墙的安装向导不超过12次鼠标点击,可以说安装还是非常快捷方便的。

  Storm防火墙的高级设置

  使用向导的基本配置就能完成整个Storm防火墙的参数设置了。具体的参数设置还要根据不同的实际需要而进行调整。这些操作都可以参考Storm防火墙手册的指导步骤进行。例如,一位家用用户在安装Storm防火墙时采用的是“默认模式”,该用户想关闭网络中的一些正在运行的服务,那么这时有些可用的端口该用户也想关闭它。 Storm防火墙就提供了4种那样方便的功能的跳格设定。其中两个跳格设定用来保护输入输出协议,另外两个跳格设定负责保护输入输出服务。这样就十分的安全了。

  在“默认模式”下还有一个各种协议类型的列表,用户可以从中选择一个适当的协议作为防火墙指定阻塞的协议。例如你选择了 ICMP和VMTP协议,那么从ICMP到VMTP协议的所有通讯数据都会被防火墙阻塞,那些数据无法进入LAN网络。这样用户就不必担心黑客们通过某种协议的漏洞来入侵计算机,通讯协议的主动权完全掌握在用户的手里。为了能更好的管理和控制协议,Storm防火墙还提供了一个可修改的规则编辑器,可以让用户自己修改相应的参数来控制Storm防火墙的工作。可以通过修改规则参数来创建自己的专用链表。和FireStarter防火墙一样,Storm防火墙也提供了脚本文件,存放在/etc/init.d目录中,用户可以对这个脚本文件进行修改。这个脚本文件主要是被中央模块所调用,计算机启动的时候自动调用这个脚本文件。

  Storm防火墙自动记录的LOG文件

  对Storm防火墙的评价:

  作为真正的商业版本的Linux应用软件,将近100美元的价格确实是让人感到有些贵了。因为多数自由软件都是免费的。但是为了Linux系统的安全,特别是用在商业用途的Linux服务器、工作站,花上100美元购买一个基于GUI图形用户界面的Storm防火墙还是很值得的。

  首先,Storm防火墙的服务相当好,除了有电话技术支持、电子邮件支持之外,更重要的是它的用户手册十分令人满意。因为在零售店单独购买和手册差不多内容的图书也要花上40美元的. 其次,作为一款专业的防火墙,它的性能是优秀的,我们介绍的只是Storm 防火墙的一小部分用途,更多的Storm防火墙优点还要等待读者去使用和发掘。和前面介绍的第一款防火墙相比,Storm防火墙就显得更加专业和标准了。我们在这里热切的向大家推荐这款优秀的防火墙软件。Storm防火墙无论是对商业用户还是家庭用户都是十分合适的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章