三大方便开源 Linux防火墙生成器

对所有的Linux系统和网络管理员来说，一个最基本的技巧是知道如何从头开始编写一个强健的iptables防火墙，并且知道如何修改它，使其适应多种不同的情况。然而，在现实世界中，这看起来似乎少之又少。对iptables的学习并非是一个简单的过程，不过笔者在这里向您推荐外网上如下资料，这样使用起来你就得心应手了。 笔者认为所有的管理员都应彻底地理解Iptables，不过，另外一个可选择的方法是运用出色的Linux防火墙生成工具。 Firewall Builder 第一个出场的便是Firewall Builder，这是一个完善的多平台的图形化的防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计，它将规则设计的细节隐藏起来，而着重于编写策略。不过，不要在你真实的防火墙上运行防火墙生成器，因为它需要X Windows。你需要将其运行在一台工作站上，然后将脚本复制到防火墙上。 Firestarter 第二位是Firestarter，它是一款优秀的图形化的防火墙生成向导，它可以引导你一步一步地通过构建防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说，这是一个不错的选择，并且在防火墙之后，它还有一些公共服务，或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令，可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上，并远程监视之，或者将其用作一个独立的防火墙。 Shorewall 第三位Shorewall是一个流行的防火墙生成器；它比Firestarter更加复杂和灵活，并且它适合用于更加复杂的网络。Shorewall的学习曲线类似于iptables，不过，其文档资料丰富，并且提供提供不同情况的解决方法指南，如单一主机防火墙，两接口和三接口防火墙，以及拥有多个公共IP地址的防火墙等等。你可以获得许多关于过滤P2P服务的帮助，如Kazaa速率限制、QQS（质量服务）、VPN转移归向等内容。 我们向你推荐这三个软件的目的是让你不用花钱购买商业的防火墙软件，后者无论如何不如内置的Linux和Unix包过滤器。用户应该将有限的资金用于购买更高质量的硬件上。

按如下方法设置好卡巴斯基后，使用起来会格外得心应手： 一：卡巴安装前一定要完全卸载其它杀软。如果已经发生冲突，在正常的Windows环境下不能反安装任何一个杀软，这时需要进入安全模式下，进行反安装操作。卡巴6。0和瑞星有严重冲突[即使关闭瑞星的监控功能][金山也一样]，具体表现在开机进入桌面后就死机！对于很多网友说的，卡巴杀毒后导致系统崩溃无法启动的情况，我也遇到过！个人感觉是病毒或者木马与系统文件产生关联。卡巴提示：无法清除，我都选择的是：删除。删除的过程中与病毒或木马有关联的系统文件也被一起删除，导致系统崩溃！有点宁可错杀1000，不可放过1个的感觉。几次系统崩溃后，我选择了在装完系统后，在系统无毒的情况下马上安装卡巴，再安装各种软件，上网！卡巴的保护功能还是不错的，这样病毒或木马就不是那么容易感染上，也就没有再出现系统崩溃的情况了！ 二：一定记得把卡巴"自我保护"小勾选上，防止恶意代码修改卡巴！默认是选上了的，最好不要修改。 三：在第一次装完卡巴后进行全盘扫描[此段时间可能会长点]，在以后的扫描时，可以对我们确认安全的文件[如：电影，游戏]不扫描，这样可以大大节省扫描时间。方法：设置--保护--信任区域--排除标记--添加--就可以选择你认为安全的文件了。卡巴扫描压缩包也是相当耗时的。 四：在还原系统或重装系统时，请务必做好病毒库的备份，再进行安装或还原。一般情况下，卡巴的病毒库放在此文件目录里：C：/Documents and Settings/All Users/Application Data/ Kaspersky Lab 只需要把AVP6备份到其他的盘[Application Data文件夹的属性是隐藏，要修改才能找到]，然后在还原或重装后，把你备份的AVP6覆盖到这个目录下就可以了。[注意关掉卡巴的自我保护，否则有可能不能复制进去]。然后退出卡巴，再进入卡巴，他会提醒你重新启动电脑以完成更新，这样就可以方便的把以前更新过的病毒库再直接使用[记得开启"自我保护"]！若不按以上内容备份，那你的病毒库将被还原在你以前设还原点的那个地方，你将重新更新病毒库，时间会长些！ 五：卡巴斯基dmp文件是由于卡巴斯基程序中断后生成的临时文件，可以放心删除，丝毫不影响使用。 六：卡巴升级时，会影响上网的速度，特别是对网络游戏影响较大。而且，卡巴有时升级失败，会不停的反复连接网络，影响游戏的正常操作。设置为手动升级，可以避免。 七：对文件实时监控方面，卡巴在默认设置上对所有的网盘，所有本地磁盘，所有的移动磁盘都进行监控，如果你的电脑配置并不高，那么可以自定义文件监控，让它只监控系统盘就可以了，别的可以放行，反正一般来说可以做一个定期的全盘扫描。修改方法如下：打开卡巴的主界面，选择：设置-文件保护-自定义-保护范围，把默认的所有本地磁盘，所有网盘前面的钩去掉，再点击右边的"添加"，打开"我的电脑"，选择系统盘[一般是C盘]，再把底下的 "包含所有子文件夹"选项前面的钩打上，再点确定-确定-应用-确定，就完全OK了。 八：如果你不用微软邮件，可以把反垃圾邮件功能给去掉。 九：win2000。win2003安装卡巴6.0需要下载orca。msi这一修改msi文件的工具，安装，它的版本号为3.1.4000.1830，是win2003sp1SDK里的工具。2用orca打开KIS6.0或kav6.0，找到 LaunchCondition这个Table，将MsiNTProductType=1 or Version9X这一行删掉，然后保存msi文件，就可以在2003中安装了。

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板的“管理工具中的“服务中来配置。

1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

2、关闭80口:关掉WWW服务。在“服务中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。

3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。

4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。

5、关掉23端口:关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的Unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接中“本地连接中选取“Internet协议(TCP/IP)属性，进入“高级TCP/IP设置“WINS设置里面有一项“禁用TCP/IP的NETBIOS，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用，以免下次重启服务也重新启动，端口也开放了。