Red Hat Linux 提供了防火牆的保護以強化系統的安全性。 防火牆存在於您的電腦與網路之間,它也用來決定網路上遠端使用者可以存取您電腦上的哪些資源。 一個妥善設定的防火牆可以大幅增加您系統的安全性。
為您的系統選取適當的安全性等級。
如果您選擇 『高安全性』,您的系統將不會接受您沒有明確指定的連線(除了預設的設定外)。 預設情況下,只有允許下列的連線:
DNS 回應
DHCP — 所有任何使用 DHCP 的網路介面都可以適當地設定
如果您選擇 『高安全性』,您的防火牆將不允許下列的連線:
主動模式的 FTP (大部分用戶端使用的被動模式 FTP 仍然可以使用)
IRC DCC 檔案傳輸
RealAudio™
遠端 X 視窗系統用戶端
如果您的系統連線至網際網路,但不打算執行一個伺服器,這是一個最安全的選擇。 如果您需要額外的服務,您可以選擇 自訂 以允許特定服務通過防火牆。
請注意 | |
---|---|
如果在安裝過程中,您選擇一個中度或高安全性的防火牆設定,您將無法使用網路認證方式 (NIS 與 LDAP)。 |
如果您選擇 『中安全性』,您的防火牆將不允許遠端的機器存取您系統上的某些資源。 預設情況下,是不允許存取下列資源的:
低於 1023 的連接埠號 — 大部分系統服務所使用的標準保留連接埠號,例如 FTP、SSH、telnet、HTTP 以及 NIS。
NFS 伺服器連接埠 (2049) — NFS 會停止遠端伺服器與本機用戶端使用。
本機的 X 視窗系統顯示給遠端的 X 用戶端。
X 字型伺服程式連接埠 (預設情況下,xfs 並不聽取網路上的訊息; 它在字型伺服程式中已被停用)。
如果您想要允許使用例如 RealAudio™ 的資源,而仍然要拒絕存取一般系統的服務,請選擇 『中安全性』。 並選取 『自訂』 來允許可通過防火牆的特定服務。
請注意 | |
---|---|
如果在安裝過程中,您選擇一個中度或高安全性的防火牆設定,網路認證方式 (NIS 與 LDAP) 將無法使用。 |
無防火牆的設定提供了完全存取您的系統,而且不做任何的安全性檢驗。 安全性檢驗就是用來停止存取某些服務。 如果您的系統在一個信任的網路環境內(非網際網路),或打算往後再設定防火牆,您才應該選擇這個選項。
選取 『自訂』 來新增信任裝置或允許使用額外的服務。
選取任何的 『信任裝置』 將允許從該裝置存取系統的所有流量; 它將會排除防火牆的規則。 例如,如果您正在執行一個區域網路, 不過是經由一個 PPP 撥號連接至網際網路,您可以選取 eth0,如此將會允許所有來自於區域網路的流量。 選取 eth0 當作信任裝置表示允許所有來自這個乙太網路的流量,而且將 ppp0 仍然放置在防火牆中。 如果您想限制某一介面的流量,請讓它保持沒有選取的狀態。
在此不建議您設定任何連線至公開網路(例如網際網路)的裝置為一個 『信任裝置』。
啟用這些選項將允許通過防火牆的特定服務。 請注意,在工作站的安裝中,大部分的這些服務都沒有安裝在系統上。
如果您允許 DHCP 查詢與回應進入,您將允許了任何使用 DHCP 決定 IP 位址的網路介面。 DHCP 通常是啟用的,如果 DHCP 沒有啟用,您的電腦將不再取得一個 IP 位址。
Secure SHell (SSH) 是一套工具用來在遠端機器登入與執行指令。 如果您打算使用 SSH 工具通過防火牆來存取您的機器,請啟用這個選項。 為了要使用 SSH 工具遠端存取您的電腦,您將需要安裝 openssh-server 套件。
Telnet 是一種用來登入遠端電腦的通訊協定。 Telnet 的連線是未加密的,並且不提供對於網路竊聽的安全性保護。 在此並不建議允許 Telnet 存取的流入。 如果您真的要允許流入 Telnet 的存取,您將需要安裝 telnet-server 套件。
HTTP 通訊協定是由 Apache (以及其他的網頁伺服器)使用來伺服網頁。 如果您打算使您的網頁伺服器可公開存取,請啟用這個選項。 這個選項對於本機上瀏覽網頁或開發網頁並不需要。 如果您想要伺服網頁,您將需要安裝 httpd 套件。
啟用 WWW (HTTP) 不會開啟一個連接埠給 HTTPS。 要啟用 HTTPS,請在 『其他埠』 的欄位指定它。
如果您想允許流入的郵件傳送通過您的防火牆,使遠端的主機就可以直接連線至您的機器來傳送郵件,請啟用這個選項。 如果您是使用 POP3 或 IMAP 從您的 ISP 伺服器下載郵件或者是您使用一種工具,例如 fetchmail,您則不需要啟用這個選項。 請注意,一個錯誤設定的 SMTP 伺服器會允許遠端機器使用您的伺服器來傳送垃圾郵件。
FTP 通訊協定是用來在網路上的機器間傳輸檔案。 假如您打算讓您的 FTP 伺服器可公開存取,請啟用這個選項。 為了要使用這個選項,您必須安裝 vsftpd 套件。
您可以允許存取沒有在以上列出的連接埠,只要將它們列在 『其他埠』 的欄位。 請使用下列的格式: 連接埠:通訊協定。 例如,如果您想允許 IMAP 通過防火牆存取,您可以指定 imap:tcp。 您也可以明確地指定連接埠號碼; 譬如要允許在連接埠 1234 上的 UDP 封包通過防火牆,可以輸入 1234:udp。 如要指定多重埠號,請以逗號將它們分開。
建議 | |
---|---|
如要在安裝完成後,更改您的安全等級設定,可以使用 安全等級設定工具。 在 shell 提示符號下輸入 redhat-config-securitylevel 指令來啟動 安全等級設定工具。 假如您不是 root,系統將會提示您輸入 root 密碼以繼續。 |