一 前言 此文著重闡述linux下的防火墻的不同實現之間的區別,以ipchains, iptables, checkpoint FW1為例。 二 基本概念 2.0 2.1 包過濾: 2.2 代理: 2.3 狀態檢測: 2.4 DMZ非軍事化區: 2.5 三 檢測點 3.0 綜述 3.1 ipchains ---------------------------------------------------------------- 總體來說,分為輸入檢測,輸出檢測和轉發檢測。但具體到代碼的時候,輸出檢測實際分散到了幾處(不同的上層協議走IP層的不同的流程): 正如ipchains項目的負責人Rusty Russell所說,在開始ipchians不久,便發現選擇的檢測點位置錯了,最終只能暫時將錯就錯。一個明顯的問題是轉發的包在此結構中必須經過三條鏈的匹配。地址偽裝功能與防火墻模塊牽扯過于緊密,如果不詳細了解其原理的話,配置規則很容易出錯。 此部分詳細的分析可參見我早期的一份文章。 A Packet Traversing the Netfilter System: 在每個檢測點上登記了需要處理的函數(通過nf_register_hook()保存在全局變量nf_hooks中),當到達此檢測點的時候,實現登記的函數按照一定的優先級來執行。嚴格的從概念上將,netfilter便是這么一個框架,你可以在適當的位置上登記一些你需要的處理函數,正式代碼中已經登記了許多處理函數(在代碼中搜nf_register_hook的調用),如在NF_IP_FORWARD點上登記了裝發的包過濾功能。你也可以登記自己的處理函數,具體例子可參看與。 3.3 FW1 packet_type *fw_type_list=NULL; fwinstallin(int isinstall ) 輸出的掛載和lkm的手法一樣,更改dev->hard_start_xmit。dev結構在2.2版本的發展過程中變了一次,為了兼容FW1對這點也做了處理(通過檢查版本號來取偏移)。 還有一款linux下的防火墻產品WebGuard(http://www.gennet.com.tw/b5/csub_webguard.html)采用的手法與FW1其非常類似。有興趣的人可以自行研究一下。
在進入正題之前,我將花少許篇幅闡述一些基本概念。盡管防火墻的術語這些年基本上沒有太大的變化,但是如果你以前只看過90年代初的一些文獻的話,有些概念仍然會讓你混淆。此處只列出一些最實用的,它們不是準確的定義,我只是盡可能的讓它們便于理解而已。
防火墻的一類。80年代便有論文來描述這種系統。傳統的包過濾功能在路由器上常可看到,而專門的防火墻系統一般在此之上加了功能的擴展,如狀態檢測等。它通過檢查單個包的地址,協議,端口等信息來決定是否允許此數據包通過。
防火墻的一類。工作在應用層,特點是兩次連接(browser與proxy之間,proxy與web server之間)。如果對原理尚有疑惑,建議用sniffer抓一下包。代理不在此文的討論范圍之內。
又稱動態包過濾,是在傳統包過濾上的功能擴展,最早由checkpoint提出。傳統的包過濾在遇到利用動態端口的協議時會發生困難,如ftp。你事先無法知道哪些端口需要打開,而如果采用原始的靜態包過濾,又希望用到的此服務的話,就需要實現將所有可能用到的端口打開,而這往往是個非常大的范圍,會給安全帶來不必要的隱患。而狀態檢測通過檢查應用程序信息(如ftp的PORT和PASS命令),來判斷此端口是否允許需要臨時打開,而當傳輸結束時,端口又馬上恢復為關閉狀態。
為了配置管理方便,內部網中需要向外提供服務的服務器往往放在一個單獨的網段,這個網段便是非軍事化區。防火墻一般配備三塊網卡,在配置時一般分別分別連接內部網,internet和DMZ。
由于防火墻地理位置的優越(往往處于網絡的關鍵出口上),防火墻一般附加了NAT,地址偽裝和VPN等功能,這些不在本文的討論范圍。
包過濾需要檢查IP包,因此它工作在網絡層,截獲IP包,并與用戶定義的規則做比較。
摘自
| ACCEPT/ lo interface |
v REDIRECT _______ |
--> C --> S --> ______ --> D --> ~~~~~~~~ -->|forward|----> _______ -->
h a |input | e {Routing } |Chain | |output |ACCEPT
e n |Chain | m {Decision} |_______| --->|Chain |
c i |______| a ~~~~~~~~ | | ->|_______|
k t | s | | | | |
s y | q | v | | |
u | v e v DENY/ | | v
m | DENY/ r Local Process REJECT | | DENY/
| v REJECT a | | | REJECT
| DENY d --------------------- |
v e -----------------------------
DENY
UDP/RAW/ICMP報文:ip_build_xmit
TCP報文:ip_queue_xmit
轉發的包:ip_forward
其它:ip_build_and_send_pkt
3.2 iptables
--->PRE------>[ROUTE]--->FWD---------->POST------>
Conntrack | Filter ^ NAT (Src)
Mangle | | Conntrack
NAT (Dst) | [ROUTE]
(QDisc) v |
IN Filter OUT Conntrack
| Conntrack ^ Mangle
| | NAT (Dst)
v | Filter
2.4內核中的防火墻系統不是2.2的簡單增強,而是一次完全的重寫,在結構上發生了非常大的變化。相比2.2的內核,2.4的檢測點變為了五個。
FW1是chekpoint推出的用于2.2內核的防火墻。由于其發布的模組文件帶了大量的調試信息,可以從反匯編的代碼中窺探到到許多實現細節。
FW1通過dev_add_pack的辦法加載輸入過濾函數,如果對這個函數不熟悉,請參看。但是此處有個問題:在net_bh()中,傳往網絡層的skbuff是克隆的,即
skb2=skb_clone(skb, GFP_ATOMIC);
if(skb2)
pt_prev->func(skb2, skb->dev, pt_prev);
這樣的話如果你想丟棄此包的話,光將其free掉是不夠的,因為它只是其中的一份拷貝而已。
FW1是怎么解決這個問題的呢?見下面的代碼(從匯編代碼翻譯成的C程序):
static struct packet_type fw_ip_packet_type =
{
__constant_htons(ETH_P_IP),
NULL, /* All devices */
fw_filterin,
NULL,
NULL, /* next */
};
{
packet_type *temp;
/*安裝*/
if(isinstall==0){
dev_add_pack(&fw_ip_packet_type);
fw_type_list = fw_ip_packet_type->next;
for(temp = fw_type_list; temp; temp=temp->temp)
dev_remove_pack(temp);
}
/*卸載*/
else {
dev_remove_pack(&fw_ip_packet_type);
for(temp = fw_ip_packet_type; temp; temp=temp->next)
dev_add_pack(temp);
}
}
不難看出,FW1把ip_packet_type歇載掉了,然后自己在自己的處理函數(fw_filterin)中調ip_recv。 共3頁: 1 [2] [3] 下一頁
