為了保障Linux網(wǎng)絡(luò)的安全，安裝防火墻是一個(gè)非常主要工作。這里我介紹一個(gè)工具軟件，可以幫助你在Linux的GUI圖形用戶界面下快速構(gòu)架一個(gè)防火墻。Firestarter 是一個(gè)完全的免費(fèi)軟件，它可以在KDE和GNOME環(huán)境下，它提供圖形界面免去了在生硬的文本環(huán)境下配置防火墻的麻煩。Firestarter 的作者和開發(fā)者是芬蘭人：Tomas Jounonen 和Paul Drain在http://firestarter.sourceforge.net/ 可以自由下載它的源代碼你還可以使用 mailto:majix@sci.f%20pd@cipherfunk.org 電子郵件和他們聯(lián)系。最新版本是0.6.1。筆者下載的是它的RPM包，315安全網(wǎng)站上提供了它的tar包下載鏈接：http://www.315safe.com/showarticle.asp?NewsID=5148。其安裝方法只與rpm包的有略微不同。

一、系統(tǒng)要求：

  硬件： 中央處理器：兼容 Intel X86處理器Pentium 200 以上 ，32 兆(推薦64兆)內(nèi)存，100兆硬盤空間 ，顯示內(nèi)存4兆。
  軟件： 內(nèi)核版本 2.2以上 ，KDE 2.0以上或GNOME 1.2以上，X Window System XFree86 3.6.x 以上，桌面分辨率至少為640×480 ，桌面顏色
  至少6萬(wàn)5千色（16位元）。gtk+模塊及其函數(shù)庫(kù)在1.2以上， Gcc模塊及其函數(shù)庫(kù)在2.9以上。
二、軟件安裝：

  1、系統(tǒng)檢測(cè)

  由于Cheops-ng 的開發(fā)者Tomas Jounonen和Paul Drain使用C語(yǔ)言和 GTK +(GIMP Tool Kit，GIMP工具包是一個(gè)用于創(chuàng)造圖形用戶接口的庫(kù))開發(fā)的,所以安裝前請(qǐng)檢查系統(tǒng)gtk+模塊的gcc編譯器版本。

    # rpm -qa | grep gcc
    # rpm -qa | grep gtk＋

  2、安裝軟件

   以根權(quán)限登陸Linux打開一個(gè)終端：

    # rpm firestarter-0.6.1-1cl.i386.rpm

  3、配置軟件

  系統(tǒng)會(huì)在/usr/bin/firestarter 建立主程序，第一次運(yùn)行firestarter 需要進(jìn)行簡(jiǎn)單的配置：

  ( 1) 軟件運(yùn)行的主界面，見圖－1。首先點(diǎn)擊選項(xiàng)子菜單，進(jìn)行一些簡(jiǎn)單配置，主要包括為軟件建立日志文件目錄、設(shè)置防火墻啟動(dòng)方式、設(shè)置警報(bào)聲音等。設(shè)置結(jié)束后用鼠標(biāo)點(diǎn)擊"Run firewall wizard"啟動(dòng)防火墻配置向?qū)А?BR> 

                                        圖－1軟件運(yùn)行的主界面 

  （2） 設(shè)置網(wǎng)絡(luò)設(shè)備，見圖－2。如果你使用普通調(diào)制解調(diào)器接入互聯(lián)網(wǎng)那么請(qǐng)選擇PPP0，對(duì)于使用XDSL等寬帶接入的設(shè)備來(lái)說(shuō)選擇網(wǎng)卡的接口即可。如果你使用的是Cable Modem接入網(wǎng)絡(luò)的話，那么在"IP address is assigned via DHCP"前打鉤。然后用鼠標(biāo)按下一步按鈕。

                                                   圖－2配置網(wǎng)絡(luò)設(shè)備

  （3）配置Linux的服務(wù)，見圖－3。系統(tǒng)會(huì)自動(dòng)檢測(cè)已經(jīng)安裝的服務(wù)。

                                               圖－3配置Linux的服務(wù) 

    一般來(lái)說(shuō)我們不要啟動(dòng)Linux中所有服務(wù)，應(yīng)當(dāng)只啟動(dòng)你必須的服務(wù)，有些服務(wù)比如：Finger(查詢帳號(hào)) 、Telnet、NFS都是相對(duì)不安全的，我們可以用一些安全的程序代替它們，例如：可以使用SSH代替Telnet。對(duì)于一些你必須啟動(dòng)的服務(wù)應(yīng)盡量升級(jí)到最新版本。在你認(rèn)為需要的服務(wù)協(xié)議 的選項(xiàng)打鉤后用鼠標(biāo)按下一步。

  （4）配置ICMP包過(guò)慮，見圖－4。

                                        圖－4 配置ICMP包過(guò)濾 

  我們知道國(guó)際控制報(bào)文(ICMP)協(xié)議工作在TCP/IP網(wǎng)際層，我們平時(shí)最常用的ICMP應(yīng)用就是通常被稱為Ping的操作。如果你選擇容許ICMP包過(guò)濾， 這里簡(jiǎn)單介紹一下各選項(xiàng)的作用，見表－1。

                                   表－1 ICMP協(xié)議內(nèi)容簡(jiǎn)介

  ICMP其實(shí)很簡(jiǎn)單。其初衷是使IP網(wǎng)絡(luò)平滑地工作。對(duì)于那些對(duì)安全性要求不高的網(wǎng)絡(luò)，或者不需要防止端口掃描的網(wǎng)絡(luò)，可以不考慮有關(guān)ICMP的問(wèn)題。然而，對(duì)于安全性至關(guān)重要的網(wǎng)絡(luò)，則只能讓盡可能少的ICMP類型通過(guò)防火墻。在你認(rèn)為需要的ICMP協(xié)議的選項(xiàng)打鉤后用鼠標(biāo)按下一步。最后系統(tǒng)會(huì)提示你配置結(jié)束。按"Finsih"按鈕退出向?qū)?，后防火墻啟?dòng)。見圖－5。當(dāng)防火墻運(yùn)行時(shí)你還可以利用"Dynamic Rules"動(dòng)態(tài)監(jiān)控它的狀態(tài)。

                                       圖－5 啟動(dòng)Firestarter 防火墻 

  總結(jié)：首先肯定的說(shuō)Firestarter防火墻是一款非常優(yōu)秀的基于GUI圖形用戶界面下的，完全免費(fèi)的自由軟件，它為中小型Linux網(wǎng)絡(luò)的系統(tǒng)管理員 提供了良好的安全服務(wù)。它的使用簡(jiǎn)單但功能強(qiáng)大：如果你的Linux系統(tǒng)中安裝的聲卡、并且在Firestarter中進(jìn)行了配置，那么在遭到系統(tǒng)入侵時(shí) 它還會(huì)發(fā)出報(bào)警鈴聲。Firestarter運(yùn)行時(shí)只占用很少的系統(tǒng)資源，它為L(zhǎng)inux平臺(tái)提供了快捷有效的安全防護(hù)功能。并且在系統(tǒng)出現(xiàn)異常情況的時(shí)候能及時(shí)的向管理員通知及相關(guān)信息、以幫助系統(tǒng)管理員及時(shí)的對(duì)系統(tǒng)作出相應(yīng)的處理和反應(yīng)。Fire starter防火墻在程序運(yùn)行后在系統(tǒng)桌面的任務(wù)條菜單處，易于迅速的啟動(dòng)和關(guān)閉網(wǎng)絡(luò)中指定的計(jì)算機(jī)。Firestarter的安裝十分容易，有安裝向?qū)б龑?dǎo)，即使是Linux軟件不熟悉的用戶也能通過(guò)向?qū)лp松完成防火墻的安裝和設(shè)置。另外，F(xiàn)irestarter的README文件里面的往釋非常清楚，方便了用戶的修改和重新定義某些參數(shù)。就像 Firestarter的開發(fā)者Tomas Jounonen所說(shuō)的它是一個(gè)"All-in-one"的Linux防火墻。

   總的來(lái)說(shuō)，F(xiàn)lrestarter防火墻適用于單機(jī)工作站、服務(wù)器、小型網(wǎng)絡(luò)服務(wù)器和家用Llnux系統(tǒng)平臺(tái)的安全防護(hù)，它能勝任在Linux下一般的系統(tǒng)安全任務(wù)。