(4)配置ICMP包过虑,见图-4。
图-4 配置ICMP包过滤
我们知道国际控制报文(ICMP)协议工作在TCP/IP网际层,我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤,这里简单介绍一下各选项的作用,见表-1。
| 回波应答(Echo Reply) |
用于探测和DoS |
| 不能到达目的地(Destination unreachable) |
提高性能,用于探测 |
| 源结束(Source Quench) |
提高性能 |
| 重定向(Redirect) |
提高本地性能,本地DoS |
| 回波(Echo) |
用于探测和DoS |
| 路由器公告(Router dvertisement) |
仅用于本地 |
| 路由器选择(Router Selection) |
仅用于本地 |
| 超时(Time Exceeded) |
用于路由跟踪和探测 |
| 参数问题(Parameter Problem) |
报告数据包包头错误,用于探测 |
| 时间戳(Timestamp) |
用于探测 |
| 时间戳应答(Timestamp Reply) |
可用于探测 |
| 地址掩码请求(Address Mask Request) |
用于本地探测 |
| 地址掩码应答(Address Mask Reply) |
仅用于探测路由器的应答 |
| 路由跟踪(Traceroute) |
可以替代路由跟踪命令 |
表-1 ICMP协议内容简介
ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络,或者不需要防止端口扫描的网络,可以不考虑有关ICMP的问题。然而,对于安全性至关重要的网络,则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标按下一步。最后系统会提示你配置结束。按"Finsih"按钮退出向导,后防火墙启动。见图-5。当防火墙运行时你还可以利用"Dynamic Rules"动态监控它的状态。
图-5 启动Firestarter 防火墙
总结:首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为中小型Linux网络的系统管理员提供了良好的安全服务。它的使用简单但功能强大:如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置,那么在遭到系统入侵时它还会发出报警铃声。Firestarter运行时只占用很少的系统资源,它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处,易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易,有安装向导引导,即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外,Firestarter的README文件里面的往释非常清楚,方便了用户的修改和重新定义某些参数。就像Firestarter的开发者Tomas Jounonen所说的它是一个"All-in-one"的Linux防火墙。
总的来说,Flrestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Llnux系统平台的安全防护,它能胜任在Linux下一般的系统安全任务。
上一页 1 2 
安全中国首页 > 文章中心 > Linux安全