防火墙设立在您的计算机和网络之间,用来判定网络中的远程用户有权访问您的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加您的系统安全性。
为您的系统选择恰当的安全级别。
「高级」 - 选择「高级」,您的系统就不会接受那些没有被您具体指定的连接。只有下列连接是默认允许的:
DNS 回应
DHCP - 因此,任何使用 DHCP 的网络接口都可以被正确的配置。
使用「高级」 将不允许下列连接:
活跃状态 FTP(在多数客户机中默认使用的被动状态 FTP,应该能够正常运行。)
IRC DCC 文件传输
RealAudio(tm)
远程 X 窗口系统客户
如果您将系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。如果需要额外的服务,您可以选择「定制」来具体指定某些服务并允许它们穿过防火墙。
「中级」 - 选择 「中级」将不允许您的系统访问某些资源。访问下列资源是默认不允许的:
低于1023 的端口- 这些是标准要保留的端口,主要被一些系统服务所使用,如:FTP、SSH、telnet,和 HTTP。
NFS 服务器端口 (2049)
为远程 X 客户机设立的本地 X 窗口系统显示
X 字体服务器端口(这在字体服务器中被默认禁用。)
如果您想准许到 RealAudio(tm) 之类资源的访问,但仍要堵塞到普通系统服务的访问,选择「中级」。您可以选择「定制」来允许具体指定的服务穿过防火墙。
「无防火墙」 - 无防火墙给予完全访问权并不做任何安全检查。建议您只有在一个可信任的网络 (非互联网)中运行时,或者您想稍后再进行详细的防火墙配置时才选此项。
除非您打算定制防火墙,请确定「使用默认的防火墙规则」被选。
选择「定制」来添加信任的设备或允许其它的进入接口。
「信任的设备」 - 如果您选择了任何一种设备,来自这一设备的全部交通将会被允许。
建议您不要为那些和公共网络(如互联网)相连接的设备启用该选项。
「允许进入」 - 启用这些选项将允许具体指定的服务穿过防火墙。注意,在工作站类型安装中,大多数这类服务在系统内不存在。
「WWW (HTTP)」 - HTTP 是 Apache 用来提供网页服务的协议。如果您打算使您的万维网服务器可被公开利用,启用该选项。
「FTP」 - FTP是用于远程文件传输的协议。如果您打算使您的 FTP 服务器可被公开利用,启用该选项。
「SSH」 - 安全 Shell(SSH)是用来在远程机器上登录及执行命令的协议。它提供了安全的加密通讯。
「DHCP」 - 该选项允许 DHCP 查询及回应,还允许任何使用 DHCP 来判定其 IP 地址的网络接口。DHCP 通常被启用。
「邮件 (SMTP)」 - 该选项允许您接收 SMTP 邮件。如果您需要允许远程主机直接连接到您的机器来发送邮件,启用该选项。如果您想从您的 ISP 服务器中收取 POP3 或 IMAP 邮件,或者您使用 fetchmail 之类的工具,不要启用此选项。请注意,不正确配置的 SMTP 服务器可以允许远程机器使用您的服务器发送垃圾邮件。
「Telnet」 - Telnet 是用来在远程机器上登录的协议。它是不加密的,几乎没有提供任何防止网络刺探之类袭击的安全措施。
「其它端口」 - 您可以指定这里没有列出的其它端口被允许穿过防火墙,使用格式是“端口:协议”(譬如,单个端口使用 nfs:upd,多个端口使用 nfs:udp,gopher:tcp)。