防火墙设立在您的计算机和网络之间,用来判定网络中的远程用户有权访问您的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加您的系统安全性。
为您的系统选择恰当的安全级别。
「无防火墙」 - 无防火墙给予完全访问权并不做任何安全检查。安全检查是指对某些服务的禁用。只有在一个可信任的网络 (非互联网)中运行时,或者您想稍后再进行详细的防火墙配置时,才应选此项。
「启用防火墙」 — 如果您选择了「启用防火墙」,没有被您具体定义的连接就不会被系统接受(除默认设置外)。按照默认设置,只有答复出站请求的连接,如 DNS 回复或 DHCP 请求,才被允许。如果需要使用在这个机器上运行的服务,您应该指定要通过防火墙的服务。
如果您将系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。
下一步,选择哪些服务应该被允许穿过防火墙。
启用这些选项将允许具体指定的服务穿过防火墙。注意,这些服务可能并不会被缺省安装进系统。请确定启用您可能需要的选项。
「WWW (HTTP)」 — Apache (以及其它万维网服务器) 使用 HTTP 协议来提供网页。如果您打算使您的万维网服务器被公众访问,请启用该选项。若只想在本地查看网页或开发网页,则不需要该选项。如果要提供网页,您还需要安装 httpd 软件包。
启用「WWW (HTTP)」并不会为 HTTPS 协议打开端口。要启用 HTTPS,请在「其它端口」字段中指定。
「FTP」 — FTP 协议被用来在网络上的机器间传输文件。如果您打算使您的 FTP 服务器可被公众访问,请启用该选项。为此您还需要安装 vsftpd 软件包。
「SSH」 — Secure SHell (SSH) 是一组用于在远程机器上登录和执行命令的工具套件。如果您打算使用 SSH 工具来通过防火墙进入您的机器,请启用该选项。要使用 SSH 工具远程访问机器,您还需要安装 openssh-server 软件包。
「Telnet」 — Telnet 是用来登录远程机器的协议。Telnet 通信是不加密的,没有提供任何防御网络窃听的措施。不推荐您允许进入的 Telnet 访问。如果您确实需要允许入站的 Telnet 访问,您必须安装 telnet-server 软件包。
「邮件 (SMTP)」 - 如果您需要允许远程主机直接连接到您的机器来发送邮件,启用该选项。如果您想从您的 ISP 服务器中收取 POP3 或 IMAP 邮件,或者您使用 fetchmail 之类的工具,不要启用此选项。请注意,不正确配置的 SMTP 服务器可以允许远程机器使用您的服务器发送垃圾邮件。
若要允许在这里没有列举的端口,您可以在「其它端口」字段中列举 它们。使用以下格式:port:protocol。例如:如果您要允许 IMAP 穿过防火墙,您可以指定 imap:tcp。您还可以具体指定数字端口;要允许端口1234上的 UDP 分组穿过防火墙,输入 1234:udp。要指定多个端口,使用逗号分隔它们。
最后,选择应该被允许访问您的系统的设备,来自该设备的全部流量都会被允许。
选择这些信任的设备中的任何一个都会把它排除在防火墙规则之外。例如:如果您在运行一个本地网络,但是通过 PPP 拨号连接到了互联网上,您可以把 eth0 选为信任的设备,所有来自您的本地网络的流量就会被允许。把 eth0 选为信任意味着所有以太网上的流量都被允许,但是 ppp0 接口上的流量仍受防火墙限制。如果您想限制某个接口上的流量,不要选择它。
建议您不要把连接到公共网络(如互联网)的设备选为信任的设备。