快速构架Linux防火墙

　为了保障Linux网络的安全，安装防火墙是一个非常主要工作。这里我介绍一个工具软件，可以帮助你在Linux的GUI图形用户界面下快速构架一个防火墙。Firestarter 是一个完全的免费软件，它可以在KDE和GNOME环境下，它提供图形界面免去了在生硬的文本环境下配置防火墙的麻烦。Firestarter 的作者和开发者是芬兰人：Tomas Jounonen 和Paul Drain在http://firestarter.sourceforge.net/ 可以自由下载它的源代码你还可以使用 mailto:majix@sci.f%20pd@cipherfunk.org 电子邮件和他们联系。最新版本是0.6.1。笔者下载的是它的RPM包，315安全网站上提供了它的tar包下载链接：http://www.315safe.com/showarticle.asp?NewsID=5148。其安装方法只与rpm包的有略微不同。
一、系统要求：
硬件： 中央处理器：兼容 Intel X86处理器Pentium 200 以上 ，32 兆(推荐64兆)内存，100兆硬盘空间 ，显示内存4兆。
软件： 内核版本 2.2以上 ，KDE 2.0以上或GNOME 1.2以上，X Window System XFree86 3.6.x 以上，桌面分辨率至少为640×480 ，桌面颜色
至少6万5千色（16位元）。gtk+模块及其函数库在1.2以上， Gcc模块及其函数库在2.9以上。
二、软件安装：
1、系统检测
由于Cheops-ng 的开发者Tomas Jounonen和Paul Drain使用C语言和 GTK +(GIMP Tool Kit，GIMP工具包是一个用于创造图形用户接口的库)开发的,所以安装前请检查系统gtk+模块的gcc编译器版本。
# rpm -qa | grep gcc
# rpm -qa | grep gtk＋

  2、安装软件
以根权限登陆Linux打开一个终端：
# rpm firestarter-0.6.1-1cl.i386.rpm
3、配置软件
系统会在/usr/bin/firestarter 建立主程序，第一次运行firestarter 需要进行简单的配置：
( 1) 软件运行的主界面，见图－1。首先点击选项子菜单，进行一些简单配置，主要包括为软件建立日志文件目录、设置防火墙启动方式、设置警报声音等。设置结束后用鼠标点击"Run firewall wizard"启动防火墙配置向导。

                                        图－1软件运行的主界面 
（2） 设置网络设备，见图－2。如果你使用普通调制解调器接入互联网那么请选择PPP0，对于使用XDSL等宽带接入的设备来说选择网卡的接口即可。如果你使用的是Cable Modem接入网络的话，那么在"IP address is assigned via DHCP"前打钩。然后用鼠标按下一步按钮。

                                                   图－2配置网络设备
（3）配置Linux的服务，见图－3。系统会自动检测已经安装的服务。

                                               图－3配置Linux的服务 
一般来说我们不要启动Linux中所有服务，应当只启动你必须的服务，有些服务比如：Finger(查询帐号) 、Telnet、NFS都是相对不安全的，我们可以用一些安全的程序代替它们，例如：可以使用SSH代替Telnet。对于一些你必须启动的服务应尽量升级到最新版本。在你认为需要的服务协议 的选项打钩后用鼠标按下一步。
（4）配置ICMP包过虑，见图－4。

图－4 配置ICMP包过滤 
我们知道国际控制报文(ICMP)协议工作在TCP/IP网际层，我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤， 这里简单介绍一下各选项的作用，见表－1。

                                   表－1 ICMP协议内容简介
ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络，或者不需要防止端口扫描的网络，可以不考虑有关ICMP的问题。然而，对于安全性至关重要的网络，则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标按下一步。最后系统会提示你配置结束。按"Finsih"按钮退出向导，后防火墙启动。见图－5。当防火墙运行时你还可以利用"Dynamic Rules"动态监控它的状态。

图－5 启动Firestarter 防火墙 
总结：首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的，完全免费的自由软件，它为中小型Linux网络的系统管理员 提供了良好的安全服务。它的使用简单但功能强大：如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置，那么在遭到系统入侵时 它还会发出报警铃声。Firestarter运行时只占用很少的系统资源，它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处，易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易，有安装向导引导，即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外，Firestarter的README文件里面的往释非常清楚，方便了用户的修改和重新定义某些参数。就像 Firestarter的开发者Tomas Jounonen所说的它是一个"All-in-one"的Linux防火墙。
总的来说，Flrestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Llnux系统平台的安全防护，它能胜任在Linux下一般的系统安全任务。