IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全防火墻技術(shù) → 圖形界面工具搞定linux/unix防火墻

圖形界面工具搞定linux/unix防火墻

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

Firewall Builder(fwbuilder)是一個(gè)可以幫助您配置IP數(shù)據(jù)包過濾的圖形化應(yīng)用程序。它可以編譯你定義的多種規(guī)格的過濾政策,包括iptables和使用的各種語言的思科和Linksys路由器。這種讓你定義的實(shí)際策略和以這種策略具體實(shí)現(xiàn)相分離的方法,可以讓你當(dāng)改變運(yùn)行硬件時(shí),不必重新定義該平臺(tái)的防火墻政策,F(xiàn)wbuilder的軟件安裝包可以在Ubuntu Hardy和Fedora 9的軟件倉庫找到。 此外用于openSUSE 10.3的Fwbuilder版本已經(jīng)被打包成一鍵安裝文件,但是它還不支持openSUSE 11版本。在這篇文章中,我將搭建一個(gè)64位機(jī)器的試驗(yàn)平臺(tái),操作系統(tǒng)選擇的是Fedora 9,安裝fwbuilder的版本是2.1.19版。fwbuilder是被分成兩個(gè)壓縮文檔進(jìn)行安裝:libfwbuilder和fwbuilder,你必須首先安裝libfwbuilder這個(gè)文件,安裝兩個(gè)文件時(shí)采用普通文件的安裝方式,即依次輸入如下命令:

./configure;
make;
sudo make install

當(dāng)進(jìn)行配置時(shí),有時(shí)會(huì)遇到這樣的警告:

Running qmake: /usr/lib64/qt-3.3/bin/qmake
WARNING: icns.path is not defined: install target not created

如果你也遇到了,我建議你不用理睬。

當(dāng)您啟動(dòng)fwbuilder時(shí),你會(huì)看到如下面的截圖所示,新防火墻窗口。通過右鍵單擊防火墻樹狀視圖中某個(gè)條目,您就可以創(chuàng)建一個(gè)新的防火墻。如果您選擇啟用防火墻模板和創(chuàng)建一個(gè)iptables防火墻,您會(huì)看到顯示的一個(gè)新的對(duì)話框窗口。由于fwbuilder有一系列防火墻供您選擇,而這些防火墻模板也能基本滿足許多用戶的使用需求,因此fwbuilder的入門顯得非常簡單。

屏幕截圖所示,模板一,它提供由你ISP支持的動(dòng)態(tài)IP地址分布(DHCP)和您在服務(wù)器的第二個(gè)網(wǎng)絡(luò)接口上的本地固定私人子網(wǎng)。模板二和模板一類似,但是它是為您的本地網(wǎng)絡(luò)DHCP服務(wù)器所專門設(shè)計(jì)的。模板三是為一個(gè)的非軍事區(qū)域(DMZ)子網(wǎng)絡(luò)所設(shè)計(jì),它的服務(wù)器上擁有三個(gè)接口其中一個(gè)擁有靜態(tài)IP地址連接互聯(lián)網(wǎng),另外一個(gè)連接本地私人子網(wǎng),最后一個(gè)網(wǎng)絡(luò)接口連接一個(gè)可以從互聯(lián)網(wǎng)登陸DMZ子網(wǎng)絡(luò),
名單上的第四個(gè)項(xiàng)目,host fw template 1,只能提供一臺(tái)主機(jī)的保護(hù),并且只允許傳入的SSH訪問。雖然這種類型的防火墻策略非常簡單,但是它可以為筆記本電腦用戶迅速安裝一個(gè)防火墻。 Linksys的防火墻模板是專為Linksys路由器上運(yùn)行的防火墻,c36xx模板則是思科路由器上的一個(gè)防火墻模板。而網(wǎng)絡(luò)服務(wù)器防火墻模板則允許安裝此類防火墻的網(wǎng)絡(luò)服務(wù)器通過HTTP和SSH方式進(jìn)行通信。

模板一的防火墻規(guī)則如下面的截圖所示。您可以在每個(gè)窗口上方的服務(wù)網(wǎng)格單元點(diǎn)擊某個(gè)單元格,相應(yīng)的底部窗格中顯示會(huì)隨之發(fā)生變化,以便您可以在此編輯該單元格中服務(wù)的設(shè)置。眾所周知ssh服務(wù)可以用來規(guī)定哪些連接可以接受,非常的重要,此防火墻模板在左側(cè)樹視圖中則把SSH服務(wù)作為了一個(gè)選項(xiàng)。而不像傳統(tǒng)防火墻那樣僅僅是簡單的輸入一個(gè)tcp連接類型和一個(gè)端口號(hào)。模板中所引用的服務(wù)只是系統(tǒng)定義的一部分,它是只讀的,讓你只能在窗格中看到細(xì)節(jié),但不能編輯它們。如果您正在運(yùn)行一個(gè)自定義端口的SSH,你不僅可以在SSH的目錄中編輯它,或者在左邊的樹形圖中右擊它并在彈出目錄中選擇"Duplicate/Place in library User",可以建立復(fù)制個(gè)人服務(wù)。此外下拉略高于左側(cè)的樹視圖列表可以讓您選擇標(biāo)準(zhǔn)(系統(tǒng))目錄或是用戶目錄。

當(dāng)你擁有你自己的SSH服務(wù)端口定義的副本,你就可以對(duì)它進(jìn)行自由的編輯。若您要使用自己定義的SSH服務(wù),你可以將它從左側(cè)的樹形視圖中拖放到你的防火墻規(guī)則窗格中。雖然這一切運(yùn)作良好,但是可能產(chǎn)生一個(gè)用戶界面的問題是,如果是在標(biāo)準(zhǔn)的定義(系統(tǒng))目錄和用戶目錄的SSH服務(wù)具有相同的名稱,當(dāng)您拖動(dòng)到您的自定義SSH服務(wù)到防火墻規(guī)則窗格中,您將看到兩個(gè)窗格的SSH項(xiàng)目,而且沒有絲毫跡象表明一個(gè)是你的個(gè)人目錄版本,而另一個(gè)是標(biāo)準(zhǔn)的(系統(tǒng))目錄版本。當(dāng)然這個(gè)問題這很容易解決,你只需重命名你的用戶目錄中SSH服務(wù)即可。

linux/unix防火墻

圖1

當(dāng)你在左側(cè)的樹形圖點(diǎn)擊防火墻本身或是任何顯示在窗口頂部的防火墻策略網(wǎng)格時(shí),您可以編輯主機(jī)和防火墻設(shè)置。在主機(jī)設(shè)置選項(xiàng)中你會(huì)發(fā)現(xiàn)選擇在計(jì)算機(jī)上設(shè)置具體工具路徑的選項(xiàng),包括重寫各種TCP設(shè)置,如FIN和保持活動(dòng)超時(shí),以及更改顯式擁塞通知(ECN)和時(shí)間戳的,還有SYN cookies。此外主機(jī)選項(xiàng)包括開啟內(nèi)核antispoofing支持,源路由是否應(yīng)該被忽視,如何對(duì)待不同的ICMP數(shù)據(jù)包等等,在模板一中防火墻默認(rèn)配置并沒有明確更改這些設(shè)置。

linux/unix防火墻

圖2

單擊左側(cè)的樹形圖或是窗口左邊的防火墻具體選項(xiàng)中的"Firewall settings..."按鈕。您就可以進(jìn)行全局規(guī)則的設(shè)定,比如限制在給定的時(shí)間間隔記錄數(shù)據(jù)包的數(shù)量,為方便的調(diào)整產(chǎn)生的防火墻規(guī)則添加一個(gè)序言和結(jié)語,并指定自定義安裝時(shí)可能需要更改的系統(tǒng)路徑。您可以指定如何拒絕數(shù)據(jù)包(即不接受何種ICMP包),如默認(rèn)拋棄未知連接的相關(guān)的數(shù)據(jù)包,并指定防火墻規(guī)則第一次執(zhí)行時(shí)是否顯示應(yīng)該被接受的已經(jīng)建立或相關(guān)的連接。

NAT的選項(xiàng)卡允許您設(shè)置源和目地IP地址通過服務(wù)器轉(zhuǎn)換后如何變化。為了使服務(wù)器修改這些地址您可以設(shè)置一系列規(guī)則和拖動(dòng)左窗格中目錄樹中的網(wǎng)卡到源或目的規(guī)則網(wǎng)格的所在。 NAT規(guī)則也可以對(duì)源,目的,服務(wù)器進(jìn)行有效配置,或是可以修改連接的源和目標(biāo)地址或是更改該連接最后被發(fā)送的端口。

如下面的截圖所示,在左窗格中顯示了網(wǎng)卡在當(dāng)前的防火墻下的描述性名稱(在這里生成模板一)。當(dāng)然你也可以修改它的名稱和與他相關(guān)的服務(wù)。并且可以按需增加新的網(wǎng)卡。在屏幕截圖中也可以看到網(wǎng)絡(luò)上任何嘗試連接到myssh服務(wù)的機(jī)器源地址將被記錄,這樣就可以在安裝防火墻的機(jī)器上看到發(fā)起連接的源地址了。

linux/unix防火墻

?圖3

Fwbuilder的一個(gè)特別有用的功能就是可以看到您所有NAT和防火墻策略所使用的服務(wù)。當(dāng)您在左側(cè)的樹狀視圖或在窗口頂部的窗格右鍵單擊這些服務(wù)時(shí),在彈出菜單中選擇"Where used",這時(shí)窗口底部會(huì)彈出一個(gè)子窗口,讓您快速查看哪些NAT或防火墻規(guī)則引用了這些服務(wù)。這也可以讓您審查是什么能夠連接到這些服務(wù),判斷是否是NAT的執(zhí)行,才使該服務(wù)得以使用。

直接使用某些單獨(dú)服務(wù)這種定義規(guī)則的方法往往很不方便,因?yàn)樵S多服務(wù)可以共同工作來提供所需的功能。 fwbuilder允許定義"groups",它許多單獨(dú)的服務(wù)的定義為一個(gè)單一的邏輯單元考慮。例如,Useful_ICMP groups包括ICMP的消息超時(shí),ping數(shù)據(jù)包,以及所有不可到達(dá)的ICMP數(shù)據(jù)包等服務(wù)。"groups"的使用允許服務(wù)器的特定功能模塊作為一個(gè)單一的單元。該單元利用更多的可讓您編輯的邏輯上的功能單位,而不必記清楚你每次想要允許某些組合時(shí)所用到的每個(gè)服務(wù)。

能在一個(gè)單獨(dú)的主機(jī)上定義NAT和路由規(guī)則非常的方便。它可以讓你設(shè)置數(shù)據(jù)傳輸方式,因?yàn)橛袝r(shí)數(shù)據(jù)的流動(dòng)會(huì)使數(shù)據(jù)發(fā)生錯(cuò)位,在某臺(tái)機(jī)器上甚至發(fā)生數(shù)據(jù)丟失。利用服務(wù)拖放和復(fù)制網(wǎng)址或服務(wù)的功能配置防火墻,同時(shí)使用fwbuilder提供的各種分類的模板,使的fwbuilder成為快速創(chuàng)建數(shù)據(jù)包過濾政策的一個(gè)非常有用的工具。在左邊的樹形標(biāo)準(zhǔn)庫視圖還提供了192.168和172等10個(gè)不錯(cuò)的專用子網(wǎng)選擇,此外還有一些服務(wù)和服務(wù)組,以及例如在本周一段時(shí)間內(nèi)改變防火墻規(guī)則的時(shí)間選項(xiàng)。

一些愿望

當(dāng)鼠標(biāo)移動(dòng)到顯示的系統(tǒng)目錄或用戶目錄上時(shí),如果左側(cè)的樹形視圖顏色發(fā)生改變,這時(shí)你應(yīng)該不加思索的檢查你正在看的目錄。不幸的是, fwbuilder在一些方面用戶界面還不是很友好。例如,當(dāng)您編譯一個(gè)防火墻,如果它的策略不是100%正確的,錯(cuò)誤報(bào)告需要你記住造成錯(cuò)誤規(guī)則,這時(shí)你需要關(guān)閉編譯錯(cuò)誤對(duì)話框,并手動(dòng)選擇剛才記住的規(guī)則。如果fwbuilder能夠嘗試解析輸出,在窗口底部增加窗格顯示錯(cuò)誤信息,同時(shí)保留錯(cuò)誤的上下文信息讓你雙擊錯(cuò)誤信息時(shí)直接跳到錯(cuò)誤的規(guī)則上面,我想這將非常的不錯(cuò)。還有,如果當(dāng)你只打算將一條規(guī)則的少數(shù)幾行進(jìn)行修改,你可以用鼠標(biāo)右鍵單擊此規(guī)則,然后選擇移動(dòng)此規(guī)則,然后重新拖放規(guī)則,而無需手動(dòng)輸入新的規(guī)則數(shù)目,這也將會(huì)很棒。最后,當(dāng)您從fwbuilder安裝防火墻時(shí),會(huì)提示您輸入用戶名和連接服務(wù)器進(jìn)行安裝,然后通過一個(gè)基于SSH到該機(jī)器的連接安裝防火墻策略。如果可以只輸出iptables文件來進(jìn)行手工安裝,我想這也會(huì)非常爽的。

關(guān)鍵詞標(biāo)簽:linux/unix防火墻

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 Windows 7自帶防火墻使用全攻略 Windows 7自帶防火墻使用全攻略 安全手冊(cè):選擇硬件防火墻應(yīng)注意十件事 安全手冊(cè):選擇硬件防火墻應(yīng)注意十件事 CISCO ASA防火墻ASDM配置 CISCO ASA防火墻ASDM配置 juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置 juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置

相關(guān)下載

    人氣排行 Juniper防火墻之圖解L2TP over IPSEC juniper防火墻之恢復(fù)出廠默認(rèn)設(shè)置 CISCO ASA防火墻ASDM配置 在ISA中利用Radius服務(wù)器搭建VPN服務(wù)器 圖形界面工具搞定linux/unix防火墻 JUNOS 5.5版本到5.6版本升級(jí)心得 使用Firewall Builder設(shè)置防火墻 juniper的硬件和體系結(jié)構(gòu)