Linux特别发行版---SmoothWall手记

在现在这些日子里，总是保持在线状态，一个可以用来保护来自认证的网络链接的防火墙是不可或缺的。虽说目前的某些家用路由设备有基本的防火墙功能，但是他们的的网络通讯规则相对简单和武断。现在可信的替代方案就是在一台老的机器上运行基于Linux的防火墙系统，但是配置这样一台Linux防火墙不是件容易的事情，但是SmoothWall例外，您可以安装在任何版本的老硬件上，把它改造成一台具有生产能力的防火墙，SmoothWall防火墙软件比标致的防火墙有着更多的选项和更友好的用户界面。

　　SmoothWall Express 2.0版本的下载大小为45MB，但是有12MB是相关PDF文档，我把它安装在800MHz的P3主机上，其他主要配置为128M SDRAM、20GB硬盘和三张网卡（一张板载，两张PCI设备）。这个硬件配置远远高于了这个防火墙软件的硬件要求，因为要求是奔腾CPU以上、32MB 内存和540MB 硬盘即可。

　　安装过程非常简单，这主要归功于安装过程中提供的非常完备的文档，在安装过程中SmoothWall将格式化硬盘，没有其他任何选项，不会提醒您备份硬盘数据等，我想这是这个软件应该改善的，但是话说回来，防火墙干嘛还有双系统，保留其他分区呢？在安装过程中，系统会要求您选择网络接口类型－以太网、ISDN或者是USBADSL。我选择了以太网，然后选择防火墙类型，这里有两种类型，一种是green－red类型，在这种模式中，一个网络接口是连向internet(red)，一个是连向LAN(green)；还有种模式就是green-orange-red，red和green接口类型和前一种一样，但是多了个orange接口，这是专门为那些需要特殊服务的服务器程序准备的，在这个区域的资源可以被来自internet和LAN的链接所控制，这就是有名的DMZ（demilitarized zone非军事区）。

　　我选择了green-orange-red模式，我按照安装指导文档中的说明为网卡设置了IP地址，下一步就是配置DHCP服务器，但是我有一个运行中的DHCP服务器，所以我取消了这个选项，然后我设置了三个密码，分别是admin、root和setup用户。特别重要的用户就是admin用户了，这个将用来设置基于web的管理界面，setup用户用来更改一些防火墙配置，比如将green－red改为green－orange－red。安装的最后一步是询问你是否从一张软盘中加载已经配置好的SmoothWall防火墙配置，全部安装配置过程大概耗时10分钟。

　　默认情况下，防火墙配置为禁止来自所以的来自红易做图域的连接请求。这就意味着任何来自internet的链接默认情况下都是被拒绝的，除非有来自绿易做图域的链接要求。您可以通过键入http://:81和https://:441来进行基于web的管理。

　　基于web界面的SmoothWall防火墙软件有着非常丰富的选项。您可以将它配置成一个代理服务器，或者DHCP服务器，或者为绿易做图域服务的某些特别端口的包转发服务器等等。作为一个代理服务器，你可以设置一些高级选项，比如用户端认证和延迟池等等。这些功能对小公司或者家庭用户来说还是很有用的，但是对于大型企业来说，他们都是有自己特定的代理服务器。您可以为你的DHCP服务器配置地址范围、WINS服务器和静态IP地址。你也可以选择动态DNS，提供为远处链接服务的SHH程序和时间服务器。SmoothWall甚至可以支持SNORT，一个流行的开源入侵检测系统。

　　SmoothWall通过使用Linux2.4内核和netfilter来进行包检测。它有一个内建的VPN网络，这样就尽可能安全的在外部和家庭网络之间建立起一个私有网络。

　　安全研究人员不断的发现新的安全问题，所以您也要不断的升级您的SmoothWall防火墙设备，SmoothWall提供基于Web的升级界面，提醒您下载新的安全升级包，一旦下载完毕，你必须在Web模式下上载到防火墙设备中，升级包是tar.gz格式，但是在上载过程中会自动解压，同时会检验完整签名。

　　我上周安装SmoothWall的时候，系统提示我有6个升级，最新的update在半个月内，这是一个好现象，说明开发者们发布补丁还是很及时和准确的，安装这些补丁很容易，虽然有两个安装后要求系统重启，这一切的管理工作都可以通过网络在完成，包括reboot。

　　还有要提一下的就是SmoothWall提供的三份完备的手册－快速开始、安装向导和管理指南，非常清晰，组织条理和内容广泛，甚至可以说，就算你不用SmoothWall，你看了这三份文档，您就可以开始你的防火墙之旅了。

　　我们学院大概有400个用户，一台Web服务器和一台Mail服务器。为了测试SmoothWall，我启用了SNORT入侵检测，并且从红易做图域发动了一定量的攻击。这些攻击包括nmap和其他一些工具的扫描和其他的一些攻击工具。在所以的这些攻击活动中，我们的SmoothWall防火墙都表现的很好，在Snort和防火墙的日志中都留下了记录，包括攻击的类型、攻击者的IP和时间日期。SmoothWall的IP lookup功能甚至可以找出攻击者的源地址。虽然我所做的攻击都是最简单的，但这正是网络中最常见的。

　　SmoothWall别设计成一种配置后不用管的产品，在我的这张比较大的局域网中，SmoothWall防火墙并没有变慢的任何迹象，您可以登陆进去查看日志文件和带宽利用率，他们都是可以通过图形表现出来，可以按照天、周、月、年等单位追踪流量变化。

　　SmoothWall总的说来是款不错的防火墙软件，我都没有发现什么瑕疵，除了一处升级的不便，那就是我们要手工下载，然后上传升级文件包到SmoothWall防火墙设备上。我想这款软件的开发者们或许要考虑一下集成一个自动的脚本到这个软件中，自动定期的升级系统，解决这个小毛刺，这个防火墙软件也许就完美了。

　　当然，SmoothWall这个软件是为家庭和小企业用户设计的，这不是一个全功能的防火墙产品，您不能进行有效的带宽控制，不能单独通过命令行模式在设置特别的IP规则，内建的代理服务器也是一种简化版，没有办法满足那些大型的商业需要。假如您要是为你的路由设备中内建防火墙选择一个代替品，恰好身边又有这么台旧电脑在睡大觉，下载这个名字叫SmoothWall的防火墙产品，try it！