防火墙设立在您的计算机和网络之间,用来判定网络中的远程用户有权访问您的计算机上的哪些资源。 一个正确配置的防火墙可以极大地增加您的系统安全性。
为您的系统选择恰当的安全级别。
高级安全 - 选择“高级”, 您的系统就不会接受那些没有被您具体指定的连接。只有下列连接是默认允许的:
DNS 回应
DHCP - 任何使用 DHCP 的网络界面都可以被正确的配置。
使用“高级” 将不允许下列连接:
活跃状态 FTP (在多数客户机中默认使用的被动状态 FTP,应该能够正常运行。)
IRC DCC 文件传输
RealAudio(tm)
远程 X 窗口系统客户
如果您将系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。 如果需要额外的服务,您可以选择“定制”来具体指定某些服务并允许它们穿过防火墙。
中级安全 - 选择 “中级” 将不允许您的系统访问某些资源。访问下列资源是默认不允许的:
低于1023 的端口- 这些是标准要保留的端口,主要被一些系统服务所使用, 如: FTP、 SSH、 telnet,和 HTTP。
NFS 服务器端口 (2049)
为远程 X 客户机设立的本地 X 窗口系统显示
X 字体服务器端口(这在字体服务器中被默认禁用。)
如果您想准许到 RealAudio(tm) 之类资源的访问, 但仍要堵塞到正常系统服务的访问,选择“中级”。 您可以选择“定制”来允许具体指定的服务穿过防火墙。
无防火墙 - 无防火墙给予完全访问权并不做任何安全检查。 建议您只有在一个可信任的网络 (非互联网) 中运行时,或者您想稍后再进行详细的防火墙配置时才选此项。
除非您打算定制防火墙,请确定“使用默认的防火墙规则”被选。
选择“定制”来添加信任的设备或允许其它的进入接口。
信任的设备 - 如果您的任一设备选择了该项, 来自这一个设备的全部交通将会被允许。
建议您不要为那些和公共网络(如互联网) 相连接的设备启用该选项。
允许接受 - 启用这些选项将允许具体指定的服务穿过防火墙。 注意,在工作站类型安装中,大多数这类服务在系统内不存在。
WWW (HTTP) - HTTP 是 Apache 用来提供网页服务的协议。如果您打算使您的万维网服务器可被公开利用,启用该选项。
FTP - FTP 是用于远程文件传输的协议。如果您打算使您的 FTP 服务器可被公开利用,启用该选项。
SSH - 安全 Shell(SSH) 是用来在远程机器上登录及执行命令的协议。它提供了安全的加密通讯。
DHCP - 该选项允许 DHCP 查询及回应, 还允许任何使用 DHCP 的网络界面来判定它们的 IP 地址。正常情况下,DHCP 是启用的。
邮件 (SMTP) - 该选项允许您接收 SMTP 邮件。 如果您需要允许远程主机直接连接到您的机器来发送邮件,启用该选项。 如果您想从您的 ISP 服务器中收取 POP3 或 IMAP 邮件,或者您使用 fetchmail 之类的工具,不要启用此选项。 请注意,不正确配置的 SMTP 服务器可以允许远程机器使用您的服务器发送垃圾邮件。
Telnet - Telnet 是用来在远程机器上登录的协议。 它是不加密的,几乎没有提供任何防止网络刺探之类袭击的安全措施。
其它端口 - 您可以指定这里没有列出的其它端口被允许穿过防火墙, 使用格式是“端口:协议”(譬如,单个端口使用 nfs:upd,多个端口使用 nfs:udp,gopher:tcp)。