为Linux系统加装 ”防盗门”

   许多网站管理员只有在出现安全问题后，才了解系统安全防护的重要性。他们往往以安全维护工作太过繁复且投入过高为借口，认为把过多的精力投入到“看门”工作中，充当系统环境的“看门狗”颇有些得不偿失。然而，借助LAMP工具，为系统环境加装安全的“防盗门”并不是一件难事。本文将以Big Fish防火墙工具为例，向大家介绍如何对系统环境进行保护，该工具主要用于配置基于netfilter技术的防火墙。

    目前，市场上有许多商业防火墙产品，销售商们可以根据用户的不同需要和网站大小开发出不同的针对性产品。例如，Checkpoint公司主要为生产环境开发防火墙和多种其它安全维护产品，Cisco公司为各种规模的网站提供PIX系列防火墙，既适用于商业网络也适用于家庭局域网。尽管Checkpoint公司和Cisco公司的防火墙产品都具备十分强大的功能，而且具有较高的健壮性和可靠性，但是对这些防火墙进行配置和管理不仅需要昂贵的费用，而且要求管理人员具备专业的技术知识。
幸运的是，Linux系统中的了CP/IP堆栈具有较高的健壮性，具备较全面的信息包过滤、网络地址翻译和其它先进的防火墙功能。另外，netfiiter软件包可为高可用性系统提供简单的加载平衡。实际上，仅在Linux平台上就可以配置一个可满足商业需要的南陸能防火墙，可以在低成本的硬件设备上运行管理员所了解的免费操作系统，再由这些设备进一步搭建网络。

    坦白地说，Linux防火墙解决方案的最大缺点之一是它的可用性较差。netfilter有时被人们称作一个“野陸十足的野兽”，十分不易控制。考虑到Linux防火墙的这一缺点，人们开发了许多LAMP工具，使工作更加简单，Big Fish防火墙便是其中之一。

    从http://bigfish.sourceforge.net网站上可以下载到Big Fish防火墙。Big Fish防火墙允许用户很方便地建立并管理自己的iptables防火墙程序。Big Fish包含有预先配置好的规则集(Rulesets)，用户可以根据需要进行修改，也可以建立用户自己的规则集。这些常用规则集包括IP Spoofing、Syn Flood Blocking、Service Blocking及资源(SNAT)和目的地网络地址翻译(DNAT)规则集等。

   对Big Fish软件包的开发工作是不间断的，目前的最新版本为1.33版，它可以与PHP 5和Linux 2.4内核兼容。Big Fish的开发者们正在开发新的版本，以便实现与PHP 4的兼容。

Big Fish的配置使用
   Big Fish在使用前需要具备一些先决条件。这里的实验环境是一台运行Linux 2.4.20-8内核系统的Apache 1.3.28服务器，具备PHP5.3.0RCl和OpenSSL 0.9.7a支持的mod_SSL 2.8.1501.3.28。由于Big Fish可以从互联网上下载并操纵服务器，因此需要在Apache服务器上安装SSL组件。

    系统还需要安装Sudo、Smarty Template Engine(可以从http://smarty.php.net/下载)、HTML_Common、HTML Menu、HTML_Table、HTML_QuickForm、File、File_Passwd、File_SearchReplace和Net_Portscan模块。
为了安装PHP扩展及应用库(PEAR)，还需要在命令行中写入PEAR的安装包名称。接下来需要为Apache用户设置”Sudo”命令，缺省状态下的名称为”nobody”。首先，建立一个本地目录来存储防火墙程序，例如/usr/local/bigfish/script,注意不要建立在网络根目录下。然后编辑”file/etc/sudoers”,并加入下列语句：
#Assuming you’re running apache as the user nobody

接下来，下载Big Fish软件包，并在Apache DocumnentRoot下建立一个名为Big Fish软件包放置在改目录下。 假定服务器用户名是“nobody”， 在cache/和templates_c/子目录下改变所以权和许可，具体命令如下：
$chown -R nobody : nobody cache