这两个防火墙软件哪个更好呢？

atfa

得在自己的机器上安装一个防火墙，看到两个也许不错的，不知道怎么选择：




第一个是Firestarter

如何得到Firestarter？

　　 Firestarter是一款完全免费的自由软件，它的作者是芬兰的Tomas Junnonen。 Firestarter在其网页提供了下载，任何人都可以通过 http://firestarter.sourceforge.net/下载Firestarter。它的二进制软件包大小有120KB，里面包括依靠 GNOME 1.0 或 GNOME 1.2和为Red Hat设计的RPM包。另外，Firestarter的经过压缩的源代码（345KB）也提供了下载。安装Firestarter软件包并没有太大的困难。不过最好是在有GNOME 1.2 库的环境下进行安装。Firestarter需要这些库文件。当然在没有GNOME菜单的系统中安装Firestarter也是可以的。安装完毕，在“程序/Internet”菜单中可以找到 Firestarter。

使用Firestarter：

　　 我们可以从GNOME 的菜单或Xterm终端窗口中启动Firestarter。需要注意的是，使用ROOT超级用户的身份才能正确的使用Firestarter软件。所以在启动 Firestarter 之前，确保您是以ROOT的身份登陆Linux系统的。在启动的Firewall 菜单中我们可以选择Run Firewall Wizard（运行防火墙向导）。在启动程序的时候，无论计算机中是否已经连接互联网，Firestarter向导都会要求计算机连接互联网的。然后这个向导会询问用户IP伪码是否需要启用，计算机系统中的网络接口是什么，和网络的IP地址的范围，哪一些服务需要暴露在互联网中等问题。当然，18种服务将会在窗口中列出给用户选择，这些服务包括从 Telnet 和 POP到 NFS，及X Window中的所有服务。



通过Firestarter向导选择相应服务

　　在按照向导的指示完成基本的网络和服务器的配置以后。向导会向用户询问与ICMP过滤相关的问题。Firestarter能为ICMP包提供8种不同的过滤器。如果您对LAN和服务器的基本配置熟悉的话，按照这个向导的指导去配置只需要8步就能完成向导设置并运行防火墙。Firestarter防火墙运行之后就立即起作用了，它的“Firewall Hits”会忠实地不断的给我们通过一个IMAP服务器提供一个安全报告。我们可以从中看到我们运行的程序的动态规则（Dynamic Rule）。这对我们查看系统中运行的程序和进程有很大的好处，我们可以直观的发现系统的运行概况，这样使得我们即时的调整我们的防火墙设置。另外，这个防火墙还可以添加我们指定的计算机或者阻止某些“不友好”的计算机的访问，还可以在网络中控制某台联网计算机的启动和关闭。这些功能实在是很方便Linux超级用户在网络中管理 计算机的。



Firestarter的动态监控

　　 Firestarter防火墙界面中除了有动态规则跳格设定之外，还有一个绿色的“开始” 和一个红色的“停止”按键，配置功能允许用户自定义当防火墙遇到入侵时的警报声音，用户还可以改变Firestarter防火墙在程序的启动和停止时的动作，用户通过 Firestarter防火墙也可以指定特殊的通讯端口，可以关闭某些端口，让这些端口不能被登陆或访问。 Firestarter防火墙还提供了一个可以让用户修改和编程的脚本文件，存放在 /usr/local/etc/firestarter/firewall.sh目录下。用户可以把它嵌入 rc.local 中或者把它连接到 /etc/init.d 使得防火墙可以在系统启动时一起随系统启动。这也就是说这个防火墙程序只需要一个启动就够了，用户不再需要去理会它，除非用户想要再次对防火墙的参数进行修改。

对Firestarter的评价：

　　 首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的，完全免费的自由软件，它为小型网络和仅仅需要一些简单功能的 Linux系统管理员提供了良好的安全服务。它的使用简单，就和操作GNOME应用软件一样方便。

　　 Firestarter没有多余臃肿的功能，它为Linux平台提供了快捷有效的防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息，以帮助系统管理员及时的对系统作出相应的处理和反应。Firestarter防火墙在程序运行后在系统桌面的任务条菜单处，易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易，有安装向导引导，即使是对Linux 软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外，Firestarter的脚本文件里面的注释非常清楚，方便了用户的修改和重新定义某些参数。总的来说，Firestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Linux系统平台的安全防护，它能胜任在Linux下一般的系统安全任务。

atfa

第二个是Shorewall


Shorewall - 一個好用的防火牆
此文章由 lisa 發表於5月21日 (星期六) 下午08:42

應用軟件

本人會講解在 Debian 安裝 shorewall 的步驟及一些簡單的 settings, 因為在 Debian 好簡單, 你只要打
#apt-get install shorewall
shorewall 就已在你部 Debian 安裝好了, 之後要去做 configuration.
shorewall 的 configuration files 會放在 /etc/shorewall 內.

初時在 /etc/shorewall 只有一個 shorewall.conf 檔案, 你須要從其他 directories 複製一些 files 過去:



#cp /usr/share/shorewall/actions.std /etc/shorewall
#cp /usr/share/shorewall/modules /etc/shorewall
#cp /usr/share/shorewall/configpath /etc/shorewall
#cp /usr/share/shorewall/rfc1918 /etc/shorewall

#cp /usr/share/doc/shorewall/default-config/blacklist /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/hosts /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/interfaces /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/maclist /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/policy /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/zones /etc/shorewall
#cp /usr/share/doc/shorewall/default-config/rules /etc/shorewall

因為只是做好簡單, 而又已可以用到個防火牆, 所以真是要 set 的得幾個 files :

1. 在 shorewall.conf 改兩句.
#vi /etc/shorewall/shorewall.conf
   LOGRATE=10/minute
   LOGBURST=5

2. 在 interfaces 加一句.
# vi /etc/shorewall/interfaces
    net eth0 detect

3. 在 zones 加三句.
#vi /etc/shorewall/zones
   net Internet Internet
   loc Local Local Network
   dmz DMZ Demilitarized zone

4. 在 policy 加三句.
#vi /etc/shorewall/policy
   loc net ACCEPT
   net all DROP info
   all all REJECT info

5. 在 rules 你就可以加入什麼 service 可以通過個防火牆.
# vi /etc/shorewall/rules
#incoming traffic (由 internet 去 firewall)
AllowSSH net fw
AllowDNS net fw
AllowWeb net fw
AllowSMB net fw
AllowNNTP net fw
AllowNTP net fw
AllowRdate net fw
AllowSMTP net fw
DropPing net fw

#outgoing traffic (由 firewall 去 internet)
AllowWeb fw net
AllowDNS fw net
AllowSMTP fw net
AllowSMB fw net
AllowSMTP fw net
AllowNNTP fw net
AllowNTP fw net
AllowRdate fw net
AllowSSH fw net

#open special ports
ACCEPT net fw tcp 9980

最後還要去 set 下面個 file 來讓 shorewall 可以運作.
# vi /etc/default/shorewall
   startup=1

在 set 好了 config files 後, 你可以用以下指令來控制 shorewall 的開關:
/etc/init.d/shorewall stop
/etc/init.d/shorewall start
/etc/init.d/shorewall restart
想要 update, upgrade 或 install, 你一定要停 shorewall 的, 要不是你接觸不到哪些 Debian Mirror 站.

如果你想做更複雜的 setting, 可以看以下網頁 :
http://www.shorewall.net/standalone.htm

如果你想看有什麼 IPs 試過接觸你部機, 你可以打
#cat /var/log/messages

作者: Lisa Soeng
教師: Frankie Chow (hk.samba.org 主席)

ajinn

应该差不多吧，都是基于iptables的

atfa

啊？居然没有更多的朋友回复了

hew

iptables 不是很好用吗,功能强,效率高!配置也容易.

江南大米

直接用iptables 当然很好，如果你熟悉命令，如果不行就用Firestarter有GUI嘛，呵呵

atfa

hew, 我就是觉得iptable配置不容易