对所有的Linux系统和网络管理员来说，一个最基本的技巧是知道如何从头开始编写一个强健的iptables防火墙，并且知道如何修改它，使其适应多种不同的情况。然而，在现实世界中，这看起来似乎少之又少。对iptables的学习并非是一个简单的过程，不过笔者在这里向您推荐外网上如下资料，这样使用起来你就得心应手了。

笔者认为所有的管理员都应彻底地理解Iptables，不过，另外一个可选择的方法是运用出色的Linux防火墙生成工具。

Firewall Builder

第一个出场的便是Firewall Builder，这是一个完善的多平台的图形化的防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计，它将规则设计的细节隐藏起来，而着重于编写策略。不过，不要在你真实的防火墙上运行防火墙生成器，因为它需要X Windows。你需要将其运行在一台工作站上，然后将脚本复制到防火墙上。

Firestarter

第二位是Firestarter，它是一款优秀的图形化的防火墙生成向导，它可以引导你一步一步地通过构建防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说，这是一个不错的选择，并且在防火墙之后，它还有一些公共服务，或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令，可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上，并远程监视之，或者将其用作一个独立的防火墙。

Shorewall

第三位Shorewall是一个流行的防火墙生成器；它比Firestarter更加复杂和灵活，并且它适合用于更加复杂的网络。Shorewall的学习曲线类似于iptables，不过，其文档资料丰富，并且提供提供不同情况的解决方法指南，如单一主机防火墙，两接口和三接口防火墙，以及拥有多个公共IP地址的防火墙等等。你可以获得许多关于过滤P2P服务的帮助，如Kazaa速率限制、QQS(质量服务)、VPN转移归向等内容。

我们向你推荐这三个软件的目的是让你不用花钱购买商业的防火墙软件，后者无论如何不如内置的Linux和Unix包过滤器。用户应该将有限的资金用于购买更高质量的硬件上。

　　不管你遇到的是什么病毒，它想霸占你的系统，侵害你的文件，大部分都要在每次系统重启时将自己加入自动运行，如果我们有方法让它丧失这个能力，那么你将远离大多数病毒木马。

　　改注册表就想自动运行，不行

　　病毒木马一般都通过修改注册表将自己设置为自动运行，我们可以针对他们修改的三种方式，来设置相应的三种对策：

　　1.设置注册表自启动项为everyone只读权限(Run、RunOnce、RunService)，防止木马、病毒通过自启动项目启动。

　　2.设置.txt、.com、.exe、.inf、.ini、.bat等文件关联为everyone只读权限，防止木马、病毒通过文件关联启动。

　　3.设置注册表HKLM/SYSTEM/CurrentControlSet/Services为everyone只读权限，防止木马、病毒以“服务方式启动。

　　我们特地为大家准备了一个批处理文件，只要你下载后运行一下，就可以完成上述的权限设置，一次免除后顾之忧(点击下载批处理文件)。

　　白名单：只运行许可的Windows应用程序

　　设置白名单可以有效地防范外来的恶意程序在你系统中运行或者设置自动运行，方法简单有效。

　　第一步：首先以管理员账户(Administrator)登录WinXP。

　　第二步：选择“开始菜单里面的“运行项，输入“gpedit.msc命令，然后单击“确定按钮打开“组策略编辑器窗口。

　　第三步：在“组策略窗口的左侧窗格中依次展开“用户配置→管理模板→系统分支，然后在右侧窗格中双击“只运行许可的Windows应用程序策略项打开“只运行许可的Windows应用程序属性窗口。

　　第四步：在“只运行许可的Windows应用程序属性窗口中转到“策略选项卡，先选择“启动项，再单击“显示按钮打开“显示内容对话框。

　　第五步：在“显示内容对话框中单击“添加按钮打开“添加项目对话框，再在相应文本框中输入允许运行程序的命令行，然后单击“确定按钮将它添加到“显示内容对话框的列表中。

　　当设置完成后，在WinXP中除了列表中指定的程序外，其他程序一律将被禁止运行，更别说病毒想方设法将自己加入到自动运行的行列，也无法在系统启动时运行。

　　限制病毒木马容身之所

　　通过浏览网页时下载到本地被执行的病毒木马，很多时候对会先着陆在一些常见的系统目录中，比如Temp、system32、drivers等，我们对这写目录做一定的权限设定，很容易将它们拦阻，防止它们自动运行。这里要求我们的C盘必须是NTFS格式的，这样才能设置权限，这里我们以Temp目录为例：

　　第一步：选择“我的电脑→工具→文件夹选项→查看→去掉‘隐藏受保护的系统文件’→选中‘显示所有文件和文件夹’→确定。做这一步是为了显示出temp文件夹，以便设置权限。

　　第二步：右键单击“temp文件夹→属性→安全→高级，现在开始设置，选择名称为你用户名的权限项目，点击“编辑。在“遍历文件夹/运行文件勾选“拒绝，依次确定。

　　小提示：FAT2NTFS

　　如果你的C盘不是NTFS格式，可以过Dos命令来转换：convert c： /fs：ntfs，而且不必强制卸下该卷，继续下一步，系统会计划下次重启后执行。

　　当然，比如著名的sxs病毒，除了C盘之外，也在其它盘的根目录下生成两个或三个文件autorun.inf、sxs.exe、autorun.pif，为了预防这种木马我们也可以通过设置权限来预防。不过，我们要付出的代价就是不能在根目录下创建文件了。方法如下：

　　第一步：右键单击D盘，选择“属性→安全→组或用户名称，这里只留一个你的用户名。

　　第二步：选择“高级，在“应用到列表中选择该文件夹或文件。这里的意思是说只对于本目录有效，下级目录我们仍可以写删。

　　第三步：设置“创建文件/写入数据为“拒绝;设置“文件夹/附加数据为“拒绝。

　　这样一个个性化的防止木马病毒自动运行批处理程序就打造完毕。

　　在微软的系统中，文件夹也是一种文件，只不过其属性特殊一点罢了。既然这样，按照微软的规定，在同一文件夹下不允许同名的文件或文件夹出现。所以，我们可以利用这个规定来自己建立一个名为Autorun.inf的文件夹来防范Autorun.inf病毒。

　　这种方法曾经有人提出来过，也有一定的效果。但是，可谓是“道高一尺，魔高一丈。病毒也不是吃素的，在运行之前先检测有没有Autorun.inf文件或文件夹，有的话则先删除再进行传播。难道我们就没什么别的办法来治治这可恶的Autorun.inf病毒吗?当然不是，大家跟我来。

　　其实思路没变，只不过我们建立的Autorun.inf文件夹是无法删除的，而且不需要任何第三方软件，相当简单，但要在Dos下完成 。

　　点击“开始→运行，在地址栏里输入CMD后回车。再输入以下命令(每输一行请打次回车，/后内容为程序说明)：

　　cd/

　　f： /这里的f指的是优盘盘符

　　md Autorun.inf /这里的意思是新建一个名为Autorun.inf的文件夹

　　cd/Autorun.inf /这里的意思是进入Autorun.inf文件夹

　　md nokill/ /这一步是关键，建立了一个名为nokill.的文件夹，在命令里比nokill.多了./，这样就使得Autorun.inf文件夹删不掉了，这一步在Windows下是无法完成的

　　到此为止，我们的免疫系统打造完毕，现在你试试Autorun.inf文件夹还能不能删除。方法很简单，但的确很使用，大家都赶紧行动起来吧!