(4)配置ICMP包过虑,见图-4。
图-4 配置ICMP包过滤
我们知道国际控制报文(ICMP)协议工作在TCP/IP网际层,我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤,这里简单介绍一下各选项的作用,见表-1。
回波应答(Echo Reply)
用于探测和DoS
不能到达目的地(Destination unreachable)
提高性能,用于探测
源结束(Source Quench)
提高性能
重定向(Redirect)
提高本地性能,本地DoS
回波(Echo)
用于探测和DoS
路由器公告(Router dvertisement)
仅用于本地
路由器选择(Router Selection)
仅用于本地
超时(Time Exceeded)
用于路由跟踪和探测
参数问题(Parameter Problem)
报告数据包包头错误,用于探测
时间戳(Timestamp)
用于探测
时间戳应答(Timestamp Reply)
可用于探测
地址掩码请求(Address Mask Request)
用于本地探测
地址掩码应答(Address Mask Reply)
仅用于探测路由器的应答
路由跟踪(Traceroute)
可以替代路由跟踪命令
表-1 ICMP协议内容简介
ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络,或者不需要防止端口扫描的网络,可以不考虑有关ICMP的问题。然而,对于安全性至关重要的网络,则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标按下一步。最后系统会提示你配置结束。按"Finsih"按钮退出向导,后防火墙启动。见图-5。当防火墙运行时你还可以利用"Dynamic Rules"动态监控它的状态。
图-5 启动Firestarter 防火墙
总结:首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为中小型Linux网络的系统管理员提供了良好的安全服务。它的使用简单但功能强大:如果你的Linux系统中安装的声卡、并且在Firestarter中进行了配置,那么在遭到系统入侵时它还会发出报警铃声。Firestarter运行时只占用很少的系统资源,它为Linux平台提供了快捷有效的安全防护功能。并且在系统出现异常情况的时候能及时的向管理员通知及相关信息、以帮助系统管理员及时的对系统作出相应的处理和反应。Fire starter防火墙在程序运行后在系统桌面的任务条菜单处,易于迅速的启动和关闭网络中指定的计算机。Firestarter的安装十分容易,有安装向导引导,即使是Linux软件不熟悉的用户也能通过向导轻松完成防火墙的安装和设置。另外,Firestarter的README文件里面的往释非常清楚,方便了用户的修改和重新定义某些参数。就像Firestarter的开发者Tomas Jounonen所说的它是一个"All-in-one"的Linux防火墙。
总的来说,Flrestarter防火墙适用于单机工作站、服务器、小型网络服务器和家用Llnux系统平台的安全防护,它能胜任在Linux下一般的系统安全任务。
关于作者
曹江华:毕业于工科大学机电一体化专业,从事CAD设计。后从事小型数据库的应用。开始从事构建网络、管理维护、数据库管理工作并接触LINUX。您可以直接通过 E-Mail : goodcjh1@2911.net与他联系!