快速构架Linux防火墙(2)

　　图－3配置Linux的服务

　　一般来说我们不要启动Linux中所有服务，应当只启动你必须的服务，有些服务比如：Finger(查询帐号) 、Telnet、NFS都是相对不安全的，我们可以用一些安全的程序代替它们，例如：可以使用SSH代替Telnet。对于一些你必须启动的服务应尽量升级到最新版本。在你认为需要的服务协议 的选项打钩后用鼠标按下一步。

　　（4）配置ICMP包过虑，见图－4。

　　图－4 配置ICMP包过滤

　　我们知道国际控制报文(ICMP)协议工作在TCP/IP网际层，我们平时最常用的ICMP应用就是通常被称为Ping的操作。如果你选择容许ICMP包过滤， 这里简单介绍一下各选项的作用，见表－1。

　　回波应答(Echo Reply) 用于探测和DoS

　　不能到达目的地(Destination unreachable) 提高性能，用于探测

　　源结束(Source Quench) 提高性能

　　重定向(Redirect) 提高本地性能，本地DoS

　　回波(Echo) 用于探测和DoS

　　路由器公告(Router dvertisement) 仅用于本地

　　路由器选择(Router Selection) 仅用于本地

　　超时(Time Exceeded) 用于路由跟踪和探测

　　参数问题(Parameter Problem) 报告数据包包头错误，用于探测

　　时间戳(Timestamp) 用于探测

　　时间戳应答(Timestamp Reply) 可用于探测

　　地址掩码请求(Address Mask Request) 用于本地探测

　　地址掩码应答(Address Mask Reply) 仅用于探测路由器的应答

　　路由跟踪(Traceroute) 可以替代路由跟踪命令

　　表－1 ICMP协议内容简介

　　ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络，或者不需要防止端口扫描的网络，可以不考虑有关ICMP的问题。然而，对于安全性至关重要的网络，则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标按下一步。最后系统会提示你配置结束。按"Finsih"按钮退出向导，后防火墙启动。见图－5。当防火墙运行时你还可以利用"Dynamic Rules"动态监控它的状态。