三大方便開源 Linux防火牆生成器

　　對所有的Linux系統和網絡管理員來說，一個最基本的技巧是知道如何從頭開始編寫一個強健的iptables防火牆，並且知道如何修改它，使其適應多種不同的情況。然而，在現實世界中，這看起來似乎少之又少。對iptables的學習並非是一個簡單的過程，不過筆者在這裡向您推薦外網上如下資料，這樣使用起來你就得心應手了。

　　筆者認為所有的管理員都應徹底地理解Iptables，不過，另外一個可選擇的方法是運用出色的Linux防火牆生成工具。

　　Firewall Builder

　　第一個出場的便是Firewall Builder，這是一個完善的多平台的圖形化的防火牆配置和管理工具。它運行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通過設計，它將規則設計的細節隱藏起來，而著重於編寫策略。不過，不要在你真實的防火牆上運行防火牆生成器，因為它需要X Windows。你需要將其運行在一台工作站上，然後將腳本復制到防火牆上。

　　Firestarter

　　第二位是Firestarter，它是一款優秀的圖形化的防火牆生成向導，它可以引導你一步一步地通過構建防火牆的過程。對於與局域網共享唯一公共IP地址的NAT防火牆來說，這是一個不錯的選擇，並且在防火牆之後，它還有一些公共服務，或者一個分離的DMZ。它擁有打開或關閉防火牆的一些簡易命令，可以查看狀態視圖和當前的活動。你可以將其運行在一台headless計算機上，並遠程監視之，或者將其用作一個獨立的防火牆。

　　Shorewall

　　第三位Shorewall是一個流行的防火牆生成器；它比Firestarter更加復雜和靈活，並且它適合用於更加復雜的網絡。Shorewall的學習曲線類似於iptables，不過，其文檔資料豐富，並且提供提供不同情況的解決方法指南，如單一主機防火牆，兩接口和三接口防火牆，以及擁有多個公共IP地址的防火牆等等。你可以獲得許多關於過濾P2P服務的幫助，如Kazaa速率限制、QQS（質量服務）、VPN轉移歸向等內容。

　　我們向你推薦這三個軟件的目的是讓你不用花錢購買商業的防火牆軟件，後者無論如何不如內置的Linux和Unix包過濾器。用戶應該將有限的資金用於購買更高質量的硬件上。

　　按如下方法設置好卡巴斯基後，使用起來會格外得心應手：

　　一：卡巴安裝前一定要完全卸載其它殺軟。如果已經發生沖突，在正常的Windows環境下不能反安裝任何一個殺軟，這時需要進入安全模式下，進行反安裝操作。卡巴6。0和瑞星有嚴重沖突[即使關閉瑞星的監控功能][金山也一樣]，具體表現在開機進入桌面後就死機！對於很多網友說的，卡巴殺毒後導致系統崩潰無法啟動的情況，我也遇到過！個人感覺是病毒或者木馬與系統文件產生關聯。卡巴提示：無法清除，我都選擇的是：刪除。刪除的過程中與病毒或木馬有關聯的系統文件也被一起刪除，導致系統崩潰！有點寧可錯殺1000，不可放過1個的感覺。幾次系統崩潰後，我選擇了在裝完系統後，在系統無毒的情況下馬上安裝卡巴，再安裝各種軟件，上網！卡巴的保護功能還是不錯的，這樣病毒或木馬就不是那麼容易感染上，也就沒有再出現系統崩潰的情況了！

　　二：一定記得把卡巴"自我保護"小勾選上，防止惡意代碼修改卡巴！默認是選上了的，最好不要修改。

　　三：在第一次裝完卡巴後進行全盤掃描[此段時間可能會長點]，在以後的掃描時，可以對我們確認安全的文件[如：電影，游戲]不掃描，這樣可以大大節省掃描時間。方法：設置--保護--信任區域--排除標記--添加--就可以選擇你認為安全的文件了。卡巴掃描壓縮包也是相當耗時的。

　　四：在還原系統或重裝系統時，請務必做好病毒庫的備份，再進行安裝或還原。一般情況下，卡巴的病毒庫放在此文件目錄裡：C：/Documents and Settings/All Users/Application Data/ Kaspersky Lab 只需要把AVP6備份到其他的盤[Application Data文件夾的屬性是隱藏，要修改才能找到]，然後在還原或重裝後，把你備份的AVP6覆蓋到這個目錄下就可以了。[注意關掉卡巴的自我保護，否則有可能不能復制進去]。然後退出卡巴，再進入卡巴，他會提醒你重新啟動電腦以完成更新，這樣就可以方便的把以前更新過的病毒庫再直接使用[記得開啟"自我保護"]！若不按以上內容備份，那你的病毒庫將被還原在你以前設還原點的那個地方，你將重新更新病毒庫，時間會長些！

　　五：卡巴斯基dmp文件是由於卡巴斯基程序中斷後生成的臨時文件，可以放心刪除，絲毫不影響使用。

　　六：卡巴升級時，會影響上網的速度，特別是對網絡游戲影響較大。而且，卡巴有時升級失敗，會不停的反復連接網絡，影響游戲的正常操作。設置為手動升級，可以避免。

　　七：對文件實時監控方面，卡巴在默認設置上對所有的網盤，所有本地磁盤，所有的移動磁盤都進行監控，如果你的電腦配置並不高，那麼可以自定義文件監控，讓它只監控系統盤就可以了，別的可以放行，反正一般來說可以做一個定期的全盤掃描。修改方法如下：打開卡巴的主界面，選擇：設置-文件保護-自定義-保護范圍，把默認的所有本地磁盤，所有網盤前面的鉤去掉，再點擊右邊的"添加"，打開"我的電腦"，選擇系統盤[一般是C盤]，再把底下的 "包含所有子文件夾"選項前面的鉤打上，再點確定-確定-應用-確定，就完全OK了。

　　八：如果你不用微軟郵件，可以把反垃圾郵件功能給去掉。

　　九：win2000。win2003安裝卡巴6.0需要下載orca。msi這一修改msi文件的工具，安裝，它的版本號為3.1.4000.1830，是win2003sp1SDK裡的工具。2用orca打開KIS6.0或kav6.0，找到 LaunchCondition這個Table，將MsiNTProductType=1 or Version9X這一行刪掉，然後保存msi文件，就可以在2003中安裝了。

　　每一項服務都對應相應的端口，比如眾如周知的WWW服務的端口是80，smtp是25，ftp是21，win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉端口也就是關閉無用的服務。 “控制面板的“管理工具中的“服務中來配置。

　　1、關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

　　2、關閉80口:關掉WWW服務。在“服務中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。

　　3、關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。

　　4、關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。

　　5、關掉23端口:關閉Telnet服務，它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。

　　6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。

　　7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運行samba的Unix機器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機類型不太准確，估計就是139端口開放既認為是NT機，現在好了。 關閉139口聽方法是在“網絡和撥號連接中“本地連接中選取“Internet協議(TCP/IP)屬性，進入“高級TCP/IP設置“WINS設置裡面有一項“禁用TCP/IP的NETBIOS，打勾就關閉了139端口。 對於個人用戶來說，可以在各項服務屬性設置中設為“禁用，以免下次重啟服務也重新啟動，端口也開放了。