什么是Linux防火墻
對(duì)于Internet上的系統(tǒng),不管是什么情況,首先我們要明確一點(diǎn):網(wǎng)絡(luò)是不安全的。因此,雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100%安全,但卻是絕對(duì)必要的。和社會(huì)上其它任何事物一樣,Internet經(jīng)常會(huì)受到一些無聊的或者別有用心的人的干擾,防火墻的目的就是將這類人擋在你的網(wǎng)絡(luò)之外,同時(shí)使你仍然可以完成自己的工作。
那么構(gòu)筑怎樣的Linux防火墻系統(tǒng)才算是足夠安全呢?這是一個(gè)很難回答的問題,因?yàn)椴煌膽?yīng)用環(huán)境對(duì)安全的要求不一樣。用一句比較恰當(dāng)而且簡單的話來回答這個(gè)問題:用戶了解自己的Linux系統(tǒng)和設(shè)置,并且可以很好地保護(hù)好自己的數(shù)據(jù)和機(jī)密文件的安全,這對(duì)于該計(jì)算機(jī)用戶來說就可以稱之為他的計(jì)算機(jī)有足夠的安全性。
那么到底什么是防火墻呢?防火墻是一個(gè)或一組系統(tǒng),它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同,但是在原則上,防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制:一種機(jī)制是攔阻傳輸流通行,另一種機(jī)制是允許傳輸流通過。
一些防火墻偏重?cái)r阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過。了解有關(guān)防火墻的最重要的概念可能就是它實(shí)現(xiàn)了一種訪問控制策略。
一般來說,防火墻在配置上是防止來自“外部”世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計(jì)算機(jī)上。一些設(shè)計(jì)更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部,但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話,它可以保護(hù)你免受網(wǎng)絡(luò)上任何類型的攻擊。
防火墻的另一個(gè)非常重要的特性是可以提供一個(gè)單獨(dú)的“攔阻點(diǎn)”,在“攔阻點(diǎn)”上設(shè)置安全和審計(jì)檢查。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同,防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能;它們經(jīng)常可以向管理員提供一些情況概要,提供有關(guān)通過防火墻的傳輸流的類型和數(shù)量,以及有多少次試圖闖入防火墻的企圖等信息。
兩種類型防火墻的平衡
在概念上,有兩種類型的防火墻:網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻。這兩種類型防火墻的差異并不如想像中那樣大,最新的技術(shù)模糊了兩者之間的區(qū)別,使哪個(gè)“更好”或“更壞”不再那么明顯。
網(wǎng)絡(luò)級(jí)防火墻一般根據(jù)源、目的地址做出決策,輸入單個(gè)的IP包。一臺(tái)簡單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級(jí)防火墻,因?yàn)樗荒茏龀鰪?fù)雜的決策,不能判斷出一個(gè)包的實(shí)際含意或包的實(shí)際出處。現(xiàn)代網(wǎng)絡(luò)級(jí)防火墻已變得越來越復(fù)雜,可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等有關(guān)信息。
許多網(wǎng)絡(luò)級(jí)防火墻之間的一個(gè)重要差別是防火墻可以使傳輸流直接通過,因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡(luò)級(jí)防火墻一般速度都很快,對(duì)用戶很透明。
應(yīng)用級(jí)防火墻一般是運(yùn)行代理服務(wù)器的主機(jī),它不允許傳輸流在網(wǎng)絡(luò)之間直接傳輸,并對(duì)通過它的傳輸流進(jìn)行記錄和審計(jì)。由于代理應(yīng)用程序是運(yùn)行在防火墻上的軟件部件,因此它處于實(shí)施記錄和訪問控制的理想位置。
應(yīng)用級(jí)防火墻可以被用作網(wǎng)絡(luò)地址翻譯器,因?yàn)閭鬏斄魍ㄟ^有效地屏蔽掉起始接入原址的應(yīng)用程序后,從一面進(jìn)來,從另一面出去。
在某些情況下,設(shè)置了應(yīng)用級(jí)防火墻后,可能會(huì)對(duì)性能造成影響,會(huì)使防火墻不太透明。早期的應(yīng)用級(jí)防火墻,對(duì)于最終用戶不很透明,并需要對(duì)用戶進(jìn)行培訓(xùn)。應(yīng)用級(jí)防火墻一般會(huì)提供更詳盡的審計(jì)報(bào)告,比網(wǎng)絡(luò)級(jí)防火墻實(shí)施更保守的安全模型。
防火墻未來的位置應(yīng)當(dāng)處于網(wǎng)絡(luò)級(jí)防火墻與應(yīng)用級(jí)防火墻之間的某一位置。網(wǎng)絡(luò)級(jí)防火墻可能對(duì)流經(jīng)它們的信息越來越“了解”,而應(yīng)用級(jí)防火墻可能將變得更加“低級(jí)”和透明。最終的結(jié)果將是能夠?qū)νㄟ^的數(shù)據(jù)流記錄和審計(jì)的快速包屏蔽系統(tǒng)。
Linux為我們提供了一個(gè)非常優(yōu)秀的防火墻工具,它就是netfilter/iptables(http: //www.netfilter.org/)。它完全是免費(fèi)的,并且可以在一臺(tái)低配置的老機(jī)器上很好地運(yùn)行。netfilter/iptables功能強(qiáng)大,使用靈活,并且可以對(duì)流入和流出的信息進(jìn)行細(xì)化的控制。
事實(shí)上,每一個(gè)主要的Linux版本中都有不同的防火墻軟件套件。Iptabels(netfilter)應(yīng)用程序被認(rèn)為是Linux中實(shí)現(xiàn)包過慮功能的第四代應(yīng)用程序。第一代是Linux 內(nèi)核1.1版本所使用的Alan Cox從BSD Unix中移植過來的ipfw。
在2.0版的內(nèi)核中,Jos Vos和其它一些程序員對(duì)ipfw進(jìn)行了擴(kuò)展,并且添加了ipfwadm用戶工具。在2.2版內(nèi)核中, Russell和Michael Neuling做了一些非常重要的改進(jìn),也就是在該內(nèi)核中,Russell添加了幫助用戶控制過慮規(guī)則的ipchains工具。后來,Russell又完成了其名為netfilter(http://www.netfilter.org)的內(nèi)核框架。這些防火墻軟件套件一般都比其前任有所改進(jìn),表現(xiàn)越來越出眾。
netfilter/iptables已經(jīng)包含在了2.4以后的內(nèi)核當(dāng)中,它可以實(shí)現(xiàn)防火墻、NAT(網(wǎng)絡(luò)地址翻譯)和數(shù)據(jù)包的分割等功能。 netfilter工作在內(nèi)核內(nèi)部,而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。netfilter/iptables是從ipchains和 ipwadfm(IP防火墻管理)演化而來的,為了簡單起見,下文中,我就將其統(tǒng)一稱為iptables。
iptables的其它一些好的用法是為Unix、Linux和BSD個(gè)人工作站創(chuàng)建一個(gè)防火墻,當(dāng)然也可以為一個(gè)子網(wǎng)創(chuàng)建防火墻以保護(hù)其它的系統(tǒng)平臺(tái)。 iptables只讀取數(shù)據(jù)包的頭,所以不會(huì)給信息流增加負(fù)擔(dān),此外它也無需進(jìn)行驗(yàn)證。如果要想獲得更好的安全性,可以將其和一個(gè)代理服務(wù)器(比如 squid)相結(jié)合。
iptable的概念和用法
通過向防火墻提供有關(guān)對(duì)來自某個(gè)源、到某個(gè)目的地或具有特定協(xié)議類型的信息包要做些什么的指令的規(guī)則,控制信息包的過濾。通過使用iptables系統(tǒng)提供的特殊命令 iptables,建立這些規(guī)則,并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。關(guān)于添加、除去、編輯規(guī)則的命令的一般語法如下:
|
現(xiàn)實(shí)中,為了易讀,我們一般都用這種語法。大部分規(guī)則都是按這種語法寫的,因此,如果看到別人寫的規(guī)則,你很可能會(huì)發(fā)現(xiàn)用的也是這種語法。
如果不想用標(biāo)準(zhǔn)的表,就要在[table]處指定表名。一般情況下沒有必要指定使用的表,因?yàn)閕ptables 默認(rèn)使用filter表來執(zhí)行所有的命令。也沒有必要非得在這里指定表名,實(shí)際上幾乎可在規(guī)則的任何地方指定表名。當(dāng)然,把表名放在開始處已經(jīng)是約定俗成的標(biāo)準(zhǔn)。盡管命令總是放在開頭,或者是直接放在表名后面,我們也要考慮到底放在哪兒易讀。
“command”告訴程序該做什么,比如:插入一個(gè)規(guī)則,還是在鏈的末尾增加一個(gè)規(guī)則,還是刪除一個(gè)規(guī)則。下面會(huì)仔細(xì)地介紹。
“match”細(xì)致地描述了包的某個(gè)特點(diǎn),以使這個(gè)包區(qū)別于其它所有的包。在這里,我們可以指定包的來源IP 地址、網(wǎng)絡(luò)接口、端口、協(xié)議類型,或者其他什么。下面我們將會(huì)看到許多不同的match。
最后是數(shù)據(jù)包的目標(biāo)所在“target”。若數(shù)據(jù)包符合所有的match,內(nèi)核就用target來處理它,或者說把包發(fā)往target。比如,我們可以讓內(nèi)核把包發(fā)送到當(dāng)前表中的其他鏈(可能是我們自己建立的),或者只是丟棄這個(gè)包而不做任何處理,或者向發(fā)送者返回某個(gè)特殊的應(yīng)答。下面我們來逐個(gè)討論這些選項(xiàng):
[-t table]選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表。表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。有三種可用的表選項(xiàng):filter、nat 和 mangle。該選項(xiàng)不是必需的,如果未指定,則filter用作缺省表。下面介紹各表實(shí)現(xiàn)的功能。
filter
filter 表用來過濾數(shù)據(jù)包,我們可以在任何時(shí)候匹配包并過濾它們。我們就是在這里根據(jù)包的內(nèi)容對(duì)包做DROP或ACCEPT的。當(dāng)然,我們也可以預(yù)先在其他地方做些過濾,但是這個(gè)表才是設(shè)計(jì)用來過濾的。幾乎所有的target都可以在這兒使用。
nat
nat表的主要用處是網(wǎng)絡(luò)地址轉(zhuǎn)換,即Network Address Translation,縮寫為NAT。做過NAT操作的數(shù)據(jù)包的地址就被改變了,當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于一個(gè)流的包只會(huì)經(jīng)過這個(gè)表一次。
如果第一個(gè)包被允許做NAT或Masqueraded,那么余下的包都會(huì)自動(dòng)地被做相同的操作。也就是說,余下的包不會(huì)再通過這個(gè)表,一個(gè)一個(gè)的被 NAT,而是自動(dòng)地完成。這就是我們?yōu)槭裁床粦?yīng)該在這個(gè)表中做任何過濾的主要原因。PREROUTING 鏈的作用是在包剛剛到達(dá)防火墻時(shí)改變它的目的地址,如果需要的話。OUTPUT鏈改變本地產(chǎn)生的包的目的地址。
POSTROUTING鏈在包就要離開防火墻之前改變其源地址此表僅用于NAT,也就是轉(zhuǎn)換包的源或目標(biāo)地址。注意,只有流的第一個(gè)包會(huì)被這個(gè)鏈匹配,其后的包會(huì)自動(dòng)被做相同的處理。實(shí)際的操作分為以下幾類:
◆ DNAT
◆ SNAT
◆ MASQUERADE
DNAT操作主要用在這樣一種情況,你有一個(gè)合法的IP地址,要把對(duì)防火墻的訪問 重定向到其他的機(jī)子上(比如DMZ)。也就是說,我們改變的是目的地址,以使包能重路由到某臺(tái)主機(jī)。
SNAT改變包的源地址,這在極大程度上可以隱藏你的本地網(wǎng)絡(luò)或者DMZ等。一個(gè)很好的例子是我們知道防火墻的外部地址,但必須用這個(gè)地址替換本地網(wǎng)絡(luò)地址。有了這個(gè)操作,防火墻就 能自動(dòng)地對(duì)包做SNAT和De-SNAT(就是反向的SNAT),以使LAN能連接到Internet。
如果使用類似 192.168.0.0/24這樣的地址,是不會(huì)從Internet得到任何回應(yīng)的。因?yàn)镮ANA定義這些網(wǎng)絡(luò)(還有其他的)為私有的,只能用于LAN內(nèi)部。
MASQUERADE的作用和MASQUERADE完全一樣,只是計(jì)算機(jī)的負(fù)荷稍微多一點(diǎn)。因?yàn)閷?duì)每個(gè)匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。當(dāng)然,這也有好處,就是我們可以使用通過PPP、 PPPOE、SLIP等撥號(hào)得到的地址,這些地址可是由ISP的DHCP隨機(jī)分配的。
Mangle
這個(gè)表主要用來mangle數(shù)據(jù)包。我們可以改變不同的包及包頭的內(nèi)容,比如 TTL,TOS或MARK。注意MARK并沒有真正地改動(dòng)數(shù)據(jù)包,它只是在內(nèi)核空間為包設(shè)了一個(gè)標(biāo)記。防火墻內(nèi)的其他的規(guī)則或程序(如tc)可以使用這種標(biāo)記對(duì)包進(jìn)行過濾或高級(jí)路由。這個(gè)表有五個(gè)內(nèi)建的鏈: PREROUTING,POSTROUTING, OUTPUT,INPUT和 FORWARD。
PREROUTING在包進(jìn)入防火墻之后、路由判斷之前改變包,POSTROUTING是在所有路由判斷之后。 OUTPUT在確定包的目的之前更改數(shù)據(jù)包。INPUT在包被路由到本地之后,但在用戶空間的程序看到它之前改變包。注意,mangle表不能做任何 NAT,它只是改變數(shù)據(jù)包的TTL,TOS或MARK,而不是其源目的地址。NAT是在nat表中操作的,以下是mangle表中僅有的幾種操作:
◆ TOS
◆ TTL
◆ MARK
TOS操作用來設(shè)置或改變數(shù)據(jù)包的服務(wù)類型域。這常用來設(shè)置網(wǎng)絡(luò)上的數(shù)據(jù)包如何被路由等策略。注意這個(gè)操作并不完善,有時(shí)得不所愿。它在Internet上還不能使用,而且很多路由器不會(huì)注意到這個(gè)域值。換句話說,不要設(shè)置發(fā)往Internet的包,除非你打算依靠TOS來路由,比如用iproute2。
TTL操作用來改變數(shù)據(jù)包的生存時(shí)間域,我們可以讓所有數(shù)據(jù)包只有一個(gè)特殊的TTL。它的存在有一個(gè)很好的理由,那就是我們可以欺騙一些ISP。為什么要欺騙他們呢?因?yàn)樗麄儾辉敢庾屛覀児蚕?一個(gè)連接。
那些ISP會(huì)查找一臺(tái)單獨(dú)的計(jì)算機(jī)是否使用不同的TTL,并且以此作為判斷連接是否被共享的標(biāo)志。
MARK用來給包設(shè)置特殊的標(biāo)記。iproute2能識(shí)別這些標(biāo)記,并根據(jù)不同的標(biāo)記(或沒有標(biāo)記) 決定不同的路由。用這些標(biāo)記我們可以做帶寬限制和基于請(qǐng)求的分類。
命令(command)
命令中必要的組成部分command是iptables命令的最重要部分。它告訴 iptables 命令要做什么,例如,插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。
在使用iptables時(shí),如果必須的參數(shù)沒有輸入就按了回車,那么它就會(huì)給出一些提示信息,告訴你需要哪些參數(shù)等。iptables的選項(xiàng)-v用來顯示iptables的版本,-h給出語法的簡短說明。
匹配(match)
iptables命令的可選match部分指定信息包與規(guī)則匹配所應(yīng)具有的特征(如源和目的地地址、協(xié)議等)。可把它們歸為五類:第一類是generic matches(通用的匹配),適用于所有的規(guī)則;第二類是TCP matches,顧名思義,這只能用于TCP包;第三類是UDP matches,當(dāng)然它只能用在UDP包上了;第四類是ICMP matches ,針對(duì)ICMP包的;第五類比較特殊,針對(duì)的是狀態(tài),指所有者和訪問的頻率限制等。在此,只介紹通用匹配,熟悉了通用匹配,其它的幾種也就比較容易理解了。
| 共3頁: 1 [2] [3] 下一頁 | ||
|
