Linux操作系统让486成为内部网防火墙

　　安全事项

　　上面的设置启动了一个基本的防火墙系统，禁止IP欺骗、广播包，但建立一个完整的防火墙系统，仍然要注意下面四点。

　　1.设置/etc/inetd.conf，禁止所有不需要的服务，像所有的R命令、finger、talk等。一般而言，仅保留ftp、telnet服务，便于内部维护用途。同时设置/etc/hosts.allow和/etc/hosts.deny，仅允许内部某些管理用户可以telnet/ftp到该防火墙。当然，更安全的办法是禁止所有的inetd服务。例如对于ftp、telnet，我们可以安装SSH，用SSH/scp代替telnet和ftp。

　　2.启用影子口令(shadow password)，使远程用户获得根密码更为困难。

　　3.运行ntsysv检查，看是否启动了不需要的后台程序。

　　4.创建尽可能少的用户账号，不断升级有安全漏洞的软件包。

　　应用体会

　　我局利用Redhat 6.0版的Linux操作系统，在AST 486计算机上建立起来的包过滤防火墙系统，有效地利用了硬件资源，使得建立在Windows NT Server 4.0系统上的省局内部局域网系统平滑地接入到江西省地震信息网络平台上。在用户上网不受影响的前提下，有效地保护了内部网络系统的安全。同时，还发挥了卫星通信信道的作用，为地震信息的快速传递起了很好的作用。

　　目前，不少单位和家庭都有淘汰下来的486或586（奔腾一代）计算机。虽然这些计算机已经不适合日益复杂的桌面应用，但是通过安装Linux系统却能搭建一个功能不错的防火墙，足以负担2M以下的Internet接入。如果系统硬件资源允许的话，还可以通过配置透明代理服务来实现Internet缓冲功能，从而节省Internet带宽资源，提高上网效率。