時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
Firewall Builder(fwbuilder)是一個可以幫助您配置IP數(shù)據(jù)包過濾的圖形化應用程序。它可以編譯你定義的多種規(guī)格的過濾政策,包括iptables和使用的各種語言的思科和Linksys路由器。這種讓你定義的實際策略和以這種策略具體實現(xiàn)相分離的方法,可以讓你當改變運行硬件時,不必重新定義該平臺的防火墻政策,
Fwbuilder的軟件安裝包可以在Ubuntu Hardy和Fedora 9的軟件倉庫找到。 此外用于openSUSE 10.3的Fwbuilder版本已經(jīng)被打包成一鍵安裝文件,但是它還不支持openSUSE 11版本。在這篇文章中,我將搭建一個64位機器的試驗平臺,操作系統(tǒng)選擇的是Fedora 9,安裝fwbuilder的版本是2.1.19版。fwbuilder是被分成兩個壓縮文檔進行安裝:libfwbuilder和fwbuilder,你必須首先安裝libfwbuilder這個文件,安裝兩個文件時采用普通文件的安裝方式,即依次輸入如下命令:
./configure;
make;
sudo make install 當進行配置時,有時會遇到這樣的警告:
Running qmake: /usr/lib64/qt-3.3/bin/qmake
WARNING: icns.path is not defined: install target not created
如果你也遇到了,我建議你不用理睬。
當您啟動fwbuilder時,你會看到如下面的截圖所示,新防火墻窗口。通過右鍵單擊防火墻樹狀視圖中某個條目,您就可以創(chuàng)建一個新的防火墻。如果您選擇啟用防火墻模板和創(chuàng)建一個iptables防火墻,您會看到顯示的一個新的對話框窗口。由于fwbuilder有一系列防火墻供您選擇,而這些防火墻模板也能基本滿足許多用戶的使用需求,因此fwbuilder的入門顯得非常簡單。
如屏幕截圖所示,模板一,它提供由你ISP支持的動態(tài)IP地址分布(DHCP)和您在服務器的第二個網(wǎng)絡接口上的本地固定私人子網(wǎng)。模板二和模板一類似,但是它是為您的本地網(wǎng)絡DHCP服務器所專門設計的。模板三是為一個的非軍事區(qū)域(DMZ)子網(wǎng)絡所設計,它的服務器上擁有三個接口其中一個擁有靜態(tài)IP地址連接互聯(lián)網(wǎng),另外一個連接本地私人子網(wǎng),最后一個網(wǎng)絡接口連接一個可以從互聯(lián)網(wǎng)登陸DMZ子網(wǎng)絡,
名單上的第四個項目,host fw template 1,只能提供一臺主機的保護,并且只允許傳入的SSH訪問。雖然這種類型的防火墻策略非常簡單,但是它可以為筆記本電腦用戶迅速安裝一個防火墻。 Linksys的防火墻模板是專為Linksys路由器上運行的防火墻,c36xx模板則是思科路由器上的一個防火墻模板。而網(wǎng)絡服務器防火墻模板則允許安裝此類防火墻的網(wǎng)絡服務器通過HTTP和SSH方式進行通信。
模板一的防火墻規(guī)則如下面的截圖所示。您可以在每個窗口上方的服務網(wǎng)格單元點擊某個單元格,相應的底部窗格中顯示會隨之發(fā)生變化,以便您可以在此編輯該單元格中服務的設置。眾所周知ssh服務可以用來規(guī)定哪些連接可以接受,非常的重要,此防火墻模板在左側(cè)樹視圖中則把SSH服務作為了一個選項。而不像傳統(tǒng)防火墻那樣僅僅是簡單的輸入一個tcp連接類型和一個端口號。模板中所引用的服務只是系統(tǒng)定義的一部分,它是只讀的,讓你只能在窗格中看到細節(jié),但不能編輯它們。如果您正在運行一個自定義端口的SSH,你不僅可以在SSH的目錄中編輯它,或者在左邊的樹形圖中右擊它并在彈出目錄中選擇"Duplicate/Place in library User",可以建立復制個人服務。此外下拉略高于左側(cè)的樹視圖列表可以讓您選擇標準(系統(tǒng))目錄或是用戶目錄。
當你擁有你自己的SSH服務端口定義的副本,你就可以對它進行自由的編輯。若您要使用自己定義的SSH服務,你可以將它從左側(cè)的樹形視圖中拖放到你的防火墻規(guī)則窗格中。雖然這一切運作良好,但是可能產(chǎn)生一個用戶界面的問題是,如果是在標準的定義(系統(tǒng))目錄和用戶目錄的SSH服務具有相同的名稱,當您拖動到您的自定義SSH服務到防火墻規(guī)則窗格中,您將看到兩個窗格的SSH項目,而且沒有絲毫跡象表明一個是你的個人目錄版本,而另一個是標準的 (系統(tǒng))目錄版本。當然這個問題這很容易解決,你只需重命名你的用戶目錄中SSH服務即可。
當你在左側(cè)的樹形圖點擊防火墻本身或是任何顯示在窗口頂部的防火墻策略網(wǎng)格時,您可以編輯主機和防火墻設置。在主機設置選項中你會發(fā)現(xiàn)選擇在計算機上設置具體工具路徑的選項,包括重寫各種TCP設置,如FIN和保持活動超時,以及更改顯式擁塞通知(ECN)和時間戳的,還有SYN cookies。此外主機選項包括開啟內(nèi)核antispoofing支持,源路由是否應該被忽視,如何對待不同的ICMP數(shù)據(jù)包等等,在模板一中防火墻默認配置并沒有明確更改這些設置。
單擊左側(cè)的樹形圖或是窗口左邊的防火墻具體選項中的"Firewall settings..."按鈕。您就可以進行全局規(guī)則的設定,比如限制在給定的時間間隔記錄數(shù)據(jù)包的數(shù)量,為方便的調(diào)整產(chǎn)生的防火墻規(guī)則添加一個序言和結(jié)語,并指定自定義安裝時可能需要更改的系統(tǒng)路徑。您可以指定如何拒絕數(shù)據(jù)包(即不接受何種ICMP包),如默認拋棄未知連接的相關的數(shù)據(jù)包,并指定防火墻規(guī)則第一次執(zhí)行時是否顯示應該被接受的已經(jīng)建立或相關的連接。
NAT的選項卡允許您設置源和目地IP地址通過服務器轉(zhuǎn)換后如何變化。為了使服務器修改這些地址您可以設置一系列規(guī)則和拖動左窗格中目錄樹中的網(wǎng)卡到源或目的規(guī)則網(wǎng)格的所在。 NAT規(guī)則也可以對源,目的,服務器進行有效配置,或是可以修改連接的源和目標地址或是更改該連接最后被發(fā)送的端口。
如下面的截圖所示,在左窗格中顯示了網(wǎng)卡在當前的防火墻下的描述性名稱(在這里生成模板一)。當然你也可以修改它的名稱和與他相關的服務。并且可以按需增加新的網(wǎng)卡。在屏幕截圖中也可以看到網(wǎng)絡上任何嘗試連接到myssh服務的機器源地址將被記錄,這樣就可以在安裝防火墻的機器上看到發(fā)起連接的源地址了。
Fwbuilder的一個特別有用的功能就是可以看到您所有NAT和防火墻策略所使用的服務。當您在左側(cè)的樹狀視圖或在窗口頂部的窗格右鍵單擊這些服務時,在彈出菜單中選擇"Where used",這時窗口底部會彈出一個子窗口,讓您快速查看哪些NAT或防火墻規(guī)則引用了這些服務。這也可以讓您審查是什么能夠連接到這些服務,判斷是否是 NAT的執(zhí)行,才使該服務得以使用。
直接使用某些單獨服務這種定義規(guī)則的方法往往很不方便,因為許多服務可以共同工作來提供所需的功能。 fwbuilder允許定義"groups",它許多單獨的服務的定義為一個單一的邏輯單元考慮。例如,Useful_ICMP groups包括ICMP的消息超時,ping數(shù)據(jù)包,以及所有不可到達的ICMP數(shù)據(jù)包等服務。"groups"的使用允許服務器的特定功能模塊作為一個單一的單元。該單元利用更多的可讓您編輯的邏輯上的功能單位,而不必記清楚你每次想要允許某些組合時所用到的每個服務。
能在一個單獨的主機上定義NAT和路由規(guī)則非常的方便。它可以讓你設置數(shù)據(jù)傳輸方式,因為有時數(shù)據(jù)的流動會使數(shù)據(jù)發(fā)生錯位,在某臺機器上甚至發(fā)生數(shù)據(jù)丟失。利用服務拖放和復制網(wǎng)址或服務的功能配置防火墻,同時使用fwbuilder提供的各種分類的模板,使的fwbuilder成為快速創(chuàng)建數(shù)據(jù)包過濾政策的一個非常有用的工具。在左邊的樹形標準庫視圖還提供了192.168和172等10個不錯的專用子網(wǎng)選擇,此外還有一些服務和服務組,以及例如在本周一段時間內(nèi)改變防火墻規(guī)則的時間選項。
一些愿望
當鼠標移動到顯示的系統(tǒng)目錄或用戶目錄上時,如果左側(cè)的樹形視圖顏色發(fā)生改變,這時你應該不加思索的檢查你正在看的目錄。不幸的是, fwbuilder在一些方面用戶界面還不是很友好。例如,當您編譯一個防火墻,如果它的策略不是100%正確的,錯誤報告需要你記住造成錯誤規(guī)則,這時你需要關閉編譯錯誤對話框,并手動選擇剛才記住的規(guī)則。如果fwbuilder能夠嘗試解析輸出,在窗口底部增加窗格顯示錯誤信息,同時保留錯誤的上下文信息讓你雙擊錯誤信息時直接跳到錯誤的規(guī)則上面,我想這將非常的不錯。還有,如果當你只打算將一條規(guī)則的少數(shù)幾行進行修改,你可以用鼠標右鍵單擊此規(guī)則,然后選擇移動此規(guī)則,然后重新拖放規(guī)則,而無需手動輸入新的規(guī)則數(shù)目,這也將會很棒。最后,當您從fwbuilder安裝防火墻時,會提示您輸入用戶名和連接服務器進行安裝,然后通過一個基于SSH到該機器的連接安裝防火墻策略。如果可以只輸出iptables文件來進行手工安裝,我想這也會非常爽的。
關鍵詞標簽:Firewall Builder,防火
相關閱讀
熱門文章 Windows 7自帶防火墻使用全攻略 安全手冊:選擇硬件防火墻應注意十件事 CISCO ASA防火墻ASDM配置 juniper防火墻之恢復出廠默認設置
人氣排行 Juniper防火墻之圖解L2TP over IPSEC juniper防火墻之恢復出廠默認設置 CISCO ASA防火墻ASDM配置 在ISA中利用Radius服務器搭建VPN服務器 圖形界面工具搞定linux/unix防火墻 JUNOS 5.5版本到5.6版本升級心得 使用Firewall Builder設置防火墻 juniper的硬件和體系結(jié)構(gòu)