编者：我们已经讲过了很多关于Windows防火墙的内容，也介绍了一些相关产品：如赛门铁克、安全之星XP、冠群金辰的个人与企业版产品。但随着Linux的迅猛发展，Linux的系统安全也日益受到注目，现在就让我们来看看Linux防火墙的相关内容。

　　如果你想设立防火墙，可以采用Windows系统里的“BlackICE”,“Conseal PC Firwall” 或者“FW1”这些非常简单、实用的专用软件。而如果你想在共享局域网上设立拨号代理服务器，用“WinGate”或“Win 98自带共享”也很简单，不过这不会改变Windows系统内在的安全漏洞。

　　现在Linux越来越流行，你是不是已经很轻松地安装了Linux。本文假定你有基本的Linux知识，知道如何在用户手册上找到所需信息。会安装Linux，对TCP/IP和PPP有一些了解，并且能编译一些源程序。

　　我们工作室采用了3个主机，分别命名为“白猫（whitecat）”,“蓝猫（bluecat）”和“黄猫（orangecat）”。“白猫”是常见的Windows系统，“蓝猫”是Redhat工作站+客户机，而“黄猫”是防火墙+拨号服务器。

　　其实这部分应该省去，因为找一台486机器实在太容易了。处理器最低是编号为DX的(因为SX没有数字协处理器，浮点运算速度太慢)， 8MB内存就行，16MB更好。硬盘在170MB左右（注），太大就有些浪费。

　　CD-ROM虽然不是必需的，可它对安装Linux来说很方便。就从别的机器“暂借”一个吧。

　　网卡必须有，我们用了3Com的3c509，它们便宜而且和kernel模块100%兼容。另外，NE2000兼容网卡也行。

　　你需要一个Modem（或ISDN TA，即一线通）。PCI接口的由于大部分是Winmodem，不建议使用。找个外置或ISA接口的即可，比如，Rockwell 56k ISA内置“猫”，或者US Robotics外置“猫”更好。

　　我的防火墙是Dell 486 DX/2 66，16MB内存，200MB 硬盘。而COM口、显卡等都是集成在主板上的。

　　注：

　　如果不安装开发工具，将省去至少100MB空间。建议在另外的Linux系统里安装开发工具，编译后通过FTP传到防火墙。

　　如果你没有另外的Linux系统，又想编译程序。可以在安装时先把开发工具装上，编译程序后再删除。或者干脆使用“RPM”格式的源文件，直接编译运行。

　　我们只需要Linux的最小安装，这样能节省空间，主要是它已经能提供足够的安全性能。

　　在局域网上，最重要的因素是安全。如果防火墙能很容易地被攻克，那它也没有存在的意义了。所以无论选择什么Linux系统，要用最新版本的。要经常到你所用Linux的公司主页看看是否有最新版本推出。

　　下面是流行的Linux版本的最新情况：

　　1、红旗Linux

　　红旗Linux的各个服务器版本中带有Ipchains防火墙软件，简单实用，可提供丰富的功能，而且在功能服务器中有完整的用户定制界面，非常方便用户定制各种网络防护功能。

　　2、OpenBSD

　　即将推出一个精妙的防火墙，小而快。不过，它的不便之处在于发展速度慢。比如，Linux目前就有ICQ masquerading （转移）模块，而BSD则没有。

　　3、Redhat

　　笔者以为，Redhat不太适合手工设立防火墙。它的体积虽然越来越大，设防火墙需要的功能却很难找全。

　　4、SuSE

　　发展方向受到Redhat图形界面和Debian/Slackware文本界面的影响。

　　5、Slackware

　　是笔者最爱的Linux版本。它很小(60MB空间能存放1个复杂的Slackware系统)，快速，容易理解，逻辑性也很强。缺点就是没有软件包管理，而且软件包内容不是太规范。

　　设立好防火墙后，推荐几款有趣而实用的软件。

　　1、rshaper (ftp://ftp.prosa.it/pub/sofware/rshap-er-1.07.tar.gz)

　　Rshaper提供预定地址的带宽限制，就是说，你可以阻止局域网上的某个机器过量使用网络带宽。比如，把whitecat.tequila限制到28800bps, 一般网络使用足够了。不过，rshaper需要网卡的专用补丁包。

　　2、snort (http://www.clark.net/~roesch/)

　　Snort是个网络层的入侵探测系统。它打开数据包的探测器，监视流过的攻击信号。因为它是被动的（不像ipchains），所以只能对现行任务进行探测。如：对web服务器的CGI入侵，使用BO/SubSeven入侵，SMTP入侵等。

　　3、FakeBO (http://cvs.linux.hr/fakebo/)

　　模拟BackOrifice 和 SubSeven 服务器，并向你报告它们的相关活动。使用前，记得要让你的系统允许BO/SubSeven连接。

　　4、OpenSSH (http://www.openssh.org/)

　　很有用，以加密的shell外壳替代telnet/rlogin。这样打开端口22就不用担心了。