Linux防火墙配置入门必学
[font=Times New Roman, serif][b]Linux[/b][/font][b]防火墙配置入门必学[/b][font=Times New Roman, serif]RedHat Linux [/font]为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
为你的系统选择恰当的安全级别。
「高级」
如果你选择了「高级」,你的系统就不会接受那些没有被你具体指定的连接[font=Times New Roman, serif]([/font]除了默认设置外[font=Times New Roman, serif])[/font]。只有以下连接是默认允许的[font=Times New Roman, serif]:[/font]
[font=Times New Roman, serif]DNS[/font]回应
[font=Times New Roman, serif]DHCP — [/font]任何使用 [font=Times New Roman, serif]DHCP [/font]的网络接口都可以被相应地配置。
如果你选择「高级」,你的防火墙将不允许下列连接[font=Times New Roman, serif]:[/font]
[font=Times New Roman, serif]1.[/font]活跃状态[font=Times New Roman, serif]FTP([/font]在多数客户机中默认使用的被动状态[font=Times New Roman, serif]FTP[/font]应该能够正常运行。[font=Times New Roman, serif])[/font]
[font=Times New Roman, serif]2.IRC DCC [/font]文件传输
[font=Times New Roman, serif]3.RealAudio[/font]
[font=Times New Roman, serif]4.[/font]远程 [font=Times New Roman, serif]X [/font]窗口系统客户机
如果你要把系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。如果需要额外的服务,你可以选择「定制」 来具体指定允许通过防火墙的服务。
注记[font=Times New Roman, serif]:[/font]如果你在安装中选择设置了中级或高级防火墙,网络验证方法[font=Times New Roman, serif](NIS [/font]和 [font=Times New Roman, serif]LDAP)[/font]将行不通。
「中级」
如果你选择了「中级」,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的[font=Times New Roman, serif]:[/font]
[list=1][*]低于[font=Times New Roman, serif]1023 [/font]的端口 — 这些是标准要保留的端口,主要被一些系统服务所使用,例如[font=Times New Roman, serif]: FTP [/font]、 [font=Times New Roman, serif]SSH [/font]、 [font=Times New Roman, serif]telnet [/font]、 [font=Times New Roman, serif]HTTP [/font]、和 [font=Times New Roman, serif]NIS [/font]。
[/list][font=Times New Roman, serif]2.NFS [/font]服务器端口[font=Times New Roman, serif](2049)— [/font]在远程服务器和本地客户机上,[font=Times New Roman, serif]NFS [/font]都已被禁用。
[font=Times New Roman, serif]3.[/font]为远程 [font=Times New Roman, serif]X [/font]客户机设立的本地 [font=Times New Roman, serif]X [/font]窗口系统显示。
[font=Times New Roman, serif]4.X [/font]字体服务器端口[font=Times New Roman, serif]( xfs [/font]不在网络中监听[font=Times New Roman, serif];[/font]它在字体服务器中被默认禁用[font=Times New Roman, serif])[/font]。
如果你想准许到[font=Times New Roman, serif]RealAudio[/font]之类资源的访问,但仍要堵塞到普通系统服务的访问,选择「中级」 。你可以选择 「定制」来允许具体指定的服务穿过防火墙。注记[font=Times New Roman, serif]:[/font]如果你在安装中选择设置了中级或高级防火墙,网络验证方法[font=Times New Roman, serif](NIS [/font]和 [font=Times New Roman, serif]LDAP)[/font]将行不通。
「无防火墙」
无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络[font=Times New Roman, serif]([/font]非互联网[font=Times New Roman, serif])[/font]中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
选择 「定制」 来添加信任的设备或允许其它的进入接口。
「信任的设备」
选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通[font=Times New Roman, serif];[/font]它不受防火墙规则的限制。例如,如果你在运行一个局域网,但是通过[font=Times New Roman, serif]PPP[/font]拨号连接到了互联网上,你可以选择「[font=Times New Roman, serif]eth0[/font]」,而后所有来自你的局域网的交通将会被允许。把「[font=Times New Roman, serif]eth0[/font]」选为“信任的”意味着所有这个以太网内的交通都是被允许的,但是[font=Times New Roman, serif]ppp0[/font]接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。
建议你不要将连接到互联网之类的公共网络上的设备定为「信任的设备」 。
「允许进入」
启用这些选项将允许具体指定的服务穿过防火墙。注意[font=Times New Roman, serif]:[/font]在工作站类型安装中,大多数这类服务在系统内没有被安装。
「[font=Times New Roman, serif]DHCP[/font]」
如果你允许进入的 [font=Times New Roman, serif]DHCP [/font]查询和回应,你将会允许任何使用 [font=Times New Roman, serif]DHCP [/font]来判定其[font=Times New Roman, serif]IP[/font]地址的网络接口。[font=Times New Roman, serif]DHCP[/font]通常是启用的。如果[font=Times New Roman, serif]DHCP[/font]没有被启用,你的计算机就不能够获取 [font=Times New Roman, serif]IP [/font]地址。
「[font=Times New Roman, serif]SSH[/font]」
[font=Times New Roman, serif]Secure([/font]安全[font=Times New Roman, serif])SHell(SSH)[/font]是用来在远程机器上登录及执行命令的一组工具。如果你打算使用[font=Times New Roman, serif]SSH[/font]工具通过防火墙来访问你的机器,启用该选项。你需要安装[font=Times New Roman, serif]openssh-server [/font]软件包以便使用 [font=Times New Roman, serif]SSH [/font]工具来远程访问你的机器。
「[font=Times New Roman, serif]Telnet[/font]」
[font=Times New Roman, serif]Telnet[/font]是用来在远程机器上登录的协议。[font=Times New Roman, serif]Telnet[/font]通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的[font=Times New Roman, serif]Telnet[/font]访问。如果你想允许进入的 [font=Times New Roman, serif]Telnet [/font]访问,你需要安装 [font=Times New Roman, serif]telnet-server [/font]软件包。
「[font=Times New Roman, serif]WWW (HTTP)[/font]」
[font=Times New Roman, serif]HTTP[/font]协议被[font=Times New Roman, serif]Apache([/font]以及其它万维网服务器[font=Times New Roman, serif])[/font]用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装 [font=Times New Roman, serif]httpd [/font]软件包。
启用 「[font=Times New Roman, serif]WWW (HTTP)[/font]」 将不会为 [font=Times New Roman, serif]HTTPS [/font]打开一个端口。要启用 [font=Times New Roman, serif]HTTPS[/font],在「其它端口」 字段内注明。
「邮件 [font=Times New Roman, serif](SMTP)[/font]」
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的[font=Times New Roman, serif]ISP[/font]服务器中收取[font=Times New Roman, serif]POP3[/font]或[font=Times New Roman, serif]IMAP[/font]邮件,或者你使用的是 [font=Times New Roman, serif]fetchmail[/font]之类的工具,不要启用该选项。请注意,不正确配置的 [font=Times New Roman, serif]SMTP [/font]服务器会允许远程机器使用你的服务器发送垃圾邮件。
「[font=Times New Roman, serif]FTP[/font]」
[font=Times New Roman, serif]FTP [/font]协议是用于在网络机器间传输文件的协议。如果你打算使你的 [font=Times New Roman, serif]FTP [/font]服务器可被公开利用,启用该选项。你需要安装 [font=Times New Roman, serif]vsftpd [/font]软件包才能利用该选项。
「其它端口」
你可以允许到这里没有列出的其它端口的访问,方法是在「其它端口」 字段内把它们列出。格式为[font=Times New Roman, serif]: [/font]端口[font=Times New Roman, serif]:[/font]协议。例如,如果你想允许 [font=Times New Roman, serif]IMAP [/font]通过你的防火墙,你可以指定 [font=Times New Roman, serif]imap:tcp [/font]。你还可以具体指定端口号码,要允许 [font=Times New Roman, serif]UDP [/font]包在端口 [font=Times New Roman, serif]1234 [/font]通过防火墙,输入 [font=Times New Roman, serif]1234:udp [/font]。要指定多个端口,用逗号将它们隔开。
窍门[font=Times New Roman, serif]:[/font]要在安装完毕后改变你的安全级别配置,使用安全级别配置工具 。 在 [font=Times New Roman, serif]shell [/font]提示下键入 [font=Times New Roman, serif]redhat-config-securitylevel [/font]命令来启动 安全级别配置工具。如果你不是根用户,它会提示你输入根口令后再继续。
页:
[1]
