● Linux上的防火墙（4） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: fbird (jack), 信区: Hacker
标  题: Linux上的防火墙（4）
发信站: BBS 荔园晨风站 (Tue Oct 27 13:19:41 1998), 站内信件

4.  Firewall软体

4.1.  可用的套装软体

    单纯的Firewall除了Linux核心及基本网路套装软体(inetd, telnetd和telnet,
ftpd和ftp)外不需外加任何软体, 但这种情况下, 限制极多而且不太好用。所以有
些软体可以使你的Firewall更有用, 我最主要要探讨的是一个叫"socks"的Proxy
Server。另外, 有两个软体你可以记在心中, 我等一下会简单介绍。

4.2.  TIS Firewall Toolkit

    TIS 中有一套程式用来进行Firewalling, 这些程式和socks基本上相同, 但采
用了不同的设计策略。socks是用一个程式来搞定所有的Internet动作, TIS 则利
为不同的功能发展不同的程式。

    为了明白说明起见, 就以World Wide Web和telnet作例子吧! 在socks中, 你要
设定一个config档和一个daemon, 透过这个档案及daemon, telnet及www可以正常使
用, 就宛如你没把它们关掉前一样。

    而在TIS toolkit中, 你要为WWW and Telnet各设一个daemon及config档。完成
之後, 其他的Internet Access仍被禁止, 直到你完成其设定为止。如果某一特定功
能没有daemon(如talk), 你可以使用"plug-in"的daemon, 只是不像其他的工具那样
有弹性且不易使用罢了。

    这里似乎有一点小小的不同, 不过会造成很大的不同——socks 允许你随便设
设就上路, 不过一个设定不良的Socks server, 网路内部的人可以试著得到超出预
期的Internet Access权。而TIS toolkit中, 人们只能使用系统管理者所赋与的权
限。

    Socks易於安装、易於complie且具有较大的弹性。如果你想严格控制网路内的
使用者, 则TIS toolkit的安全性较佳。但二者都提供了对外的绝对保护。

4.3.  TCP Wrapper
    TCP wrapper不是一个Firewalling工具, 但它提供了许多相同的效果。透过
TCP wrapper,  你可以控制谁有权Access你的机器和Access那些服务, 同时可以追
踪连线的记录, 而且它还提供了一个基本的侦测伪装功能。

   TCP wrapper基於一些理由, 并未广泛的运用:

o 它不算是一个真的Firewall
o 要使用它, 你必须要连上Internet, 因此你得有一个IP 位址
o 它只控制安装它的「机器」, 对「网路」不能提供很好的服务。Firewall则可以
  保护每一个架构上的每一个机器。TCP wrapper在Mac及MS Windows机器无法使用

4.4.  IPfw 和 IPfw Admin

--
※ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: 192.168.1.89]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店