3.22. 防火牆設定
Red Hat Linux 提供了防火牆的保護以強化系統的安全性。 防火牆存在於您的電腦與網路之間,它也用來決定網路上遠端使用者可以存取您電腦上的哪些資源。 一個妥善設定的防火牆可以大幅增加您系統的安全性。
為您的系統選取適當的安全性等級。
- 高安全性
如果您選擇 『高安全性』,您的系統將不會接受您沒有明確指定的連線(除了預設的設定外)。 預設情況下,只有允許下列的連線:
DNS 回應
DHCP — 所有任何使用 DHCP 的網路介面都可以適當地設定
如果您選擇 『高安全性』,您的防火牆將不允許下列的連線:
主動模式的 FTP (大部分用戶端使用的被動模式 FTP 仍然可以使用)
IRC DCC 檔案傳輸
RealAudio™
遠端 X 視窗系統用戶端
如果您的系統連線至網際網路,但不打算執行一個伺服器,這是一個最安全的選擇。 如果您需要額外的服務,您可以選擇 自訂 以允許特定服務通過防火牆。
請注意 如果在安裝過程中,您選擇一個中度或高安全性的防火牆設定,您將無法使用網路認證方式 (NIS 與 LDAP)。
- 中安全性
如果您選擇 『中安全性』,您的防火牆將不允許遠端的機器存取您系統上的某些資源。 預設情況下,是不允許存取下列資源的:
低於 1023 的連接埠號 — 大部分系統服務所使用的標準保留連接埠號,例如 FTP、SSH、telnet、HTTP 以及 NIS。
NFS 伺服器連接埠 (2049) — NFS 會停止遠端伺服器與本機用戶端使用。
本機的 X 視窗系統顯示給遠端的 X 用戶端。
X 字型伺服程式連接埠 (預設情況下,xfs 並不聽取網路上的訊息; 它在字型伺服程式中已被停用)。
如果您想要允許使用例如 RealAudio™ 的資源,而仍然要拒絕存取一般系統的服務,請選擇 『中安全性』。 並選取 『自訂』 來允許可通過防火牆的特定服務。
請注意 如果在安裝過程中,您選擇一個中度或高安全性的防火牆設定,網路認證方式 (NIS 與 LDAP) 將無法使用。
- 無防火牆
無防火牆的設定提供了完全存取您的系統,而且不做任何的安全性檢驗。 安全性檢驗就是用來停止存取某些服務。 如果您的系統在一個信任的網路環境內(非網際網路),或打算往後再設定防火牆,您才應該選擇這個選項。
選取 『自訂』 來新增信任裝置或允許使用額外的服務。
- 信任裝置
選取任何的 『信任裝置』 將允許從該裝置存取系統的所有流量; 它將會排除防火牆的規則。 例如,如果您正在執行一個區域網路, 不過是經由一個 PPP 撥號連接至網際網路,您可以選取 eth0,如此將會允許所有來自於區域網路的流量。 選取 eth0 當作信任裝置表示允許所有來自這個乙太網路的流量,而且將 ppp0 仍然放置在防火牆中。 如果您想限制某一介面的流量,請讓它保持沒有選取的狀態。
在此不建議您設定任何連線至公開網路(例如網際網路)的裝置為一個 『信任裝置』。
- 允許進入
啟用這些選項將允許通過防火牆的特定服務。 請注意,在工作站的安裝中,大部分的這些服務都沒有安裝在系統上。
- DHCP
如果您允許 DHCP 查詢與回應進入,您將允許了任何使用 DHCP 決定 IP 位址的網路介面。 DHCP 通常是啟用的,如果 DHCP 沒有啟用,您的電腦將不再取得一個 IP 位址。
- SSH
Secure SHell (SSH) 是一套工具用來在遠端機器登入與執行指令。 如果您打算使用 SSH 工具通過防火牆來存取您的機器,請啟用這個選項。 為了要使用 SSH 工具遠端存取您的電腦,您將需要安裝 openssh-server 套件。
- Telnet
Telnet 是一種用來登入遠端電腦的通訊協定。 Telnet 的連線是未加密的,並且不提供對於網路竊聽的安全性保護。 在此並不建議允許 Telnet 存取的流入。 如果您真的要允許流入 Telnet 的存取,您將需要安裝 telnet-server 套件。
- WWW (HTTP)
HTTP 通訊協定是由 Apache (以及其他的網頁伺服器)使用來伺服網頁。 如果您打算使您的網頁伺服器可公開存取,請啟用這個選項。 這個選項對於本機上瀏覽網頁或開發網頁並不需要。 如果您想要伺服網頁,您將需要安裝 httpd 套件。
啟用 WWW (HTTP) 不會開啟一個連接埠給 HTTPS。 要啟用 HTTPS,請在 『其他埠』 的欄位指定它。
- Mail (SMTP)
如果您想允許流入的郵件傳送通過您的防火牆,使遠端的主機就可以直接連線至您的機器來傳送郵件,請啟用這個選項。 如果您是使用 POP3 或 IMAP 從您的 ISP 伺服器下載郵件或者是您使用一種工具,例如 fetchmail,您則不需要啟用這個選項。 請注意,一個錯誤設定的 SMTP 伺服器會允許遠端機器使用您的伺服器來傳送垃圾郵件。
- FTP
FTP 通訊協定是用來在網路上的機器間傳輸檔案。 假如您打算讓您的 FTP 伺服器可公開存取,請啟用這個選項。 為了要使用這個選項,您必須安裝 vsftpd 套件。
- 其他埠
您可以允許存取沒有在以上列出的連接埠,只要將它們列在 『其他埠』 的欄位。 請使用下列的格式: 連接埠:通訊協定。 例如,如果您想允許 IMAP 通過防火牆存取,您可以指定 imap:tcp。 您也可以明確地指定連接埠號碼; 譬如要允許在連接埠 1234 上的 UDP 封包通過防火牆,可以輸入 1234:udp。 如要指定多重埠號,請以逗號將它們分開。
 | 建議 |
|---|---|
如要在安裝完成後,更改您的安全等級設定,可以使用 安全等級設定工具。 在 shell 提示符號下輸入 redhat-config-securitylevel 指令來啟動 安全等級設定工具。 假如您不是 root,系統將會提示您輸入 root 密碼以繼續。 |