使用自由软件维护异构网络的安全(7)

　　保护网络

　　如果你的主机已经适当的”准备”了，你只是完成了事情的一半。你需要继续前进。既然我们谈到了自由软件，我们会为网关配置防火墙：这样你就可以把机器放到”野蛮”的世界里去了。毫不犹豫的（又一次！）我们使用Linux机器：这样我们就可以使用 Bastille-Linux防火墙了。不同版本，或使用ipchains 或使用ipfwadm。如果你用的Linux是2.4的内核，你就使用ipchains。

　　一个小的心得：当涉及到安全时，把所有的初级问题堆叠到一起可不是个好主意。把内核立刻升级到最新版本也许会带来很坏的负面效应。这不是说新的内核工作不好，而是”陪嫁”的工具不能协调（新的内核）工作，这也许会犯大错误的。一个建议：耐心。作为新内核一部分的新防火墙工具很有前途，但是有点儿”年青”。这么说，你是不是轮到你...

　　总之，Bastille-Linux防火墙既简单又有效率。 还有更多的精细的工具，有点儿象”天然气工厂” 称为T.REX。可以从以下网址下载： http://www.opensourcefirewall.com.如果你想得到一个很复杂的自由工具的话，它就是。

　　其他的解决方案，比如说proxys，它工作的不是太好。另一点？？：proxys常被误认为是防火墙。毫无疑问，它们是两回事。防火墙使用包过滤而不提供认证的手段。有２种的proxy服务：基于应用的和基于套接字的。总之，一个应用服务器管理整个的通讯过程和提供用户认证，这是为什么它要比防火墙多消耗系统资源的原因。但是，我再说一遍，这类的工具只能保护网络一小段时间。一个防火墙可以在１５分钟内 ”攻克”。你听说过，不是吗？因此之前的适当安全化网络中的主机是很重要的：想把安全都托付给防火墙或Proxy而安全无恙的网络那可是异数呀！

　　另一个减少危险的手段是加密。 比如，使用telnet服务简直是让攻击者脚踩红地毯一样大摇大摆的进入（你的网络系统），或者象你给了强盗商店的钥匙。不仅他们能得到环境 数据，而且能得到明明白白的文本形式的password：这也太爽了，不是吗？ 相应地，你可以自在地在那些”不安定”的协议下使用ssh（或直接使用它）。如果你必需（？）使用 telnet，你可以在选择一个安全的联接。这就是说把telnet的端口重定位到一个安全的端口上。