20.1. 安全级别配置工具

红帽企业 Linux 安装中的「防火墙配置」屏幕给你提供了启用基本防火墙的的选项；你还可以选择要允许的指定设备、进入服务、和端口等。

安装后，你可以使用安全级别配置工具来改变这个首选项。

要启动这个程序，选择面板上的「主菜单」 => 「系统设置」 => 「安全级别」，或在 shell（如 XTerm 或 GNOME 终端）下键入 redhat-config-securitylevel 命令。

	注记
	安全级别配置工具只配置一个基本的防火墙。如果系统需要允许或拒绝到指定端口的访问，或者系统需要更复杂的规则，请参阅《红帽企业 Linux 参考指南》中关于配置特定 iptables 规则的详情。

选择以下选项之一：

• 「禁用防火墙」 — 禁用防火墙给予到你的系统的完全访问权并不做任何安全检查。系统检查是对某些服务的禁用。建议你只有在一个可信任的网络（非互联网）中运行时，或者你想稍后再进行详细的防火墙配置时才选此项。

  	警告
  	如果你配置了防火墙，或在 /etc/sysconfig/iptables 文件中配置了防火墙规则，若选择了「禁用防火墙」并点击「确定」来保存所做改变，该文件就会被删除。

• 「启用防火墙」 — 该选项配置系统拒绝不是答复输出请求如 DNS 答复或 DHCP 请求的进入连接。如果需要使用在这个机器上运行的服务，你可以选择允许指定的服务穿过防火墙。

  如果你要把系统连接到互联网上，但是并不打算运行服务器，这是最安全的选择。

  选择任何一个「信任的设备」会允许来自该设备的到你的系统的所有交通。它不在防火墙规则的限制之内。譬如，如果你在运行一个本地网络，但是通过 PPP 拨号连接到了互联网上，你可以选择「eth0」，所有来自你的本地网络的交通就会被允许。把「eth0」选为“信任的设备”意味着所有通过以太网的交通都会被允许，但是通过 ppp0 接口的交通仍受防火墙的限制。如果你想限制某个接口上的交通，就不要选择它。

  建议你不要把连接到公共网络（如互联网）上的设备选为「信任的设备」。

  启用「信任的服务」列表中的选项会允许指定的服务穿过防火墙。

  「WWW (HTTP)」

  HTTP 协议被 Apache（以及其它万维网服务器）用来提供网页。如果你打算使你的万维网服务器公开可用，请启用该选项。你不必启用该选项来本地查看网页或开发网页。如果你想提供网页，你必须安装 apache 软件包。

  启用「WWW (HTTP)」不会为 HTTPS（HTTP 的 SSL 版本）打开一个端口。

  「FTP」

  FTP 协议被用来在网络上的机器间传输文件。如果你打算使你的 FTP 服务器公开可用，启用该选项。你需要安装 vsftpd 软件包才能是该选项能够发生作用。

  「SSH」

  安全 Shell（SSH）是用来在远程机器上登录及执行命令的协议套件。如果你计划使用 SSH 工具通过防火墙来进入你的机器，启用该选项。你必须安装 openssh-server 软件包才能使用 SSH 工具来远程地进入你的机器。

  「Telnet」

  Telnet 是一种远程登录机器的协议。Telnet 的通信是不加密的，没有提供任何防止网络刺探之类的安全措施。建议你不要允许进入的 Telnet 访问。如果你想允许进入的 Telnet 访问，你必须安装 telnet-server 软件包。

  「邮件 (SMTP)」

  如果你想允许进入的邮件穿过你的防火墙，从而使远程主机能够直接连接到你的机器来分发邮件，则启用该选项。如果你只想从使用 POP3 或 IMAP 的 ISP 服务器来收取邮件，或者使用 fetchmail 之类的工具，则不必启用这个选项。注意，不正确配置的 SMTP 服务器会允许远程机器使用你的服务器来发送垃圾邮件。

点击「确定」来保存改变和启用或禁用防火墙。若选择了「启用防火墙」，选定的选项就会被转换成 iptables 命令并写入 /etc/sysconfig/iptables 文件。iptables 服务也被启动，因此，保存了选定选项后，防火墙就会被立即激活。若选择了「禁用防火墙」，/etc/sysconfig/iptables 文件就会被删除，iptables 服务就会被立即停止。

选定的选项还被写入 /etc/sysconfig/redhat-config-securitylevel 文件，因此这些设置可以在程序下次启动时被恢复。请不要手工编辑该文件。

尽管防火墙会被立即激活，iptables 服务的配置却不在引导时被自动启动。详情请参阅第 20.2 节。