防火墻是一個(gè)非常重要的網(wǎng)絡(luò)安全工具，但是如果在需要對(duì)防火墻規(guī)則進(jìn)行快速、復(fù)雜的動(dòng)態(tài)修改時(shí)你該如何實(shí)現(xiàn)呢？如果你使用本文介紹的Daniel Robbins 的動(dòng)態(tài)防火墻腳本，這將是一件非常容易的工作。你可以利用這些腳本來(lái)增強(qiáng)你網(wǎng)絡(luò)的安全性和對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)響應(yīng)性，并基于該腳本進(jìn)行自己的創(chuàng)造性設(shè)計(jì)。
理解動(dòng)態(tài)防火墻的腳本能夠帶來(lái)的益處的最好方法就是看它們?cè)趯?shí)際中的應(yīng)用。假設(shè)我是某個(gè)ISP的系統(tǒng)管理員，我最近架設(shè)了一個(gè)基于Linux的防火墻來(lái)保護(hù)我的客戶(hù)和內(nèi)部系統(tǒng)，防止外部惡意用戶(hù)的攻擊。為了實(shí)現(xiàn)該系統(tǒng)我使用了新版Linux2.4內(nèi)核的iptables工具來(lái)實(shí)現(xiàn)，防火墻允許客戶(hù)和內(nèi)部服務(wù)器向Internet建立連接，也允許從Internet向內(nèi)部系統(tǒng)的公共服務(wù)如web服務(wù)器、ftp服務(wù)器等建立新的連接。由于這里我使用了默認(rèn)拒絕任何服務(wù)，只開(kāi)放允許的服務(wù)的策略，因此從Internet到非公共服務(wù)如squid的代理服務(wù)、samba服務(wù)的連接是被拒絕的。目前我已經(jīng)有了一個(gè)功能完備的、滿(mǎn)足安全需求的防火墻系統(tǒng)，其能對(duì)ISP的所有用戶(hù)提供很好的保護(hù)。
剛剛開(kāi)始的一個(gè)星期防火墻工作情況良好，但是隨后一些糟糕的事情發(fā)生了。Bob-一個(gè)攻擊者對(duì)我的網(wǎng)絡(luò)進(jìn)行了攻擊，它采用了使用垃圾數(shù)據(jù)報(bào)淹沒(méi)我的 ISP網(wǎng)絡(luò)的方法來(lái)對(duì)我的客戶(hù)進(jìn)行Dos攻擊。不幸的是Bob已經(jīng)對(duì)我的防火墻進(jìn)行了仔細(xì)的研究，知道雖然我對(duì)內(nèi)部服務(wù)進(jìn)行了保護(hù)但是25端口和80端口都是開(kāi)放的以收發(fā)Emai和開(kāi)放www服務(wù)。Bob決定對(duì)我的Email和WWW服務(wù)器進(jìn)行Dos的攻擊。
Bob開(kāi)始攻擊的1-2分鐘以后我發(fā)現(xiàn)我的線路出現(xiàn)嚴(yán)重的擁塞情況。通過(guò)tcpdump察看我發(fā)現(xiàn)這是Bob進(jìn)行的一次攻擊。并且我得到了它的攻擊源地址。現(xiàn)在我就需要阻止這些IP地址對(duì)我的公共服務(wù)器的連接。下面我就討論一種簡(jiǎn)單方便的解決方案。

阻止攻擊

我馬上采取行動(dòng)，加載我的防火墻啟動(dòng)腳本并使用vi對(duì) iptables 規(guī)則進(jìn)行編輯，來(lái)阻塞這些Bob發(fā)出的惡意攻擊數(shù)據(jù)的源地址的數(shù)據(jù)報(bào)。大約一分鐘以后我找到了在防火墻啟動(dòng)腳本中添加新的DROP規(guī)則的位置，我馬上添加了新的規(guī)則并重新啟動(dòng)了防火墻。很快防火墻發(fā)揮了作用，Bob的攻擊得到了遏制。現(xiàn)在看起來(lái)我成功的擊潰了Bob的攻擊，可是不久網(wǎng)絡(luò)值班電話又響了起來(lái)，原來(lái)是客戶(hù)發(fā)現(xiàn)網(wǎng)絡(luò)不可用而打過(guò)來(lái)的投訴電話。可是更加糟糕的是幾分鐘以后我注意到我的Internet連接線路又開(kāi)始出現(xiàn)嚴(yán)重阻塞。我仔細(xì)察看原來(lái)是Bob使用了新的IP地址進(jìn)行攻擊行動(dòng)。我只好不得不再次修改防火墻啟動(dòng)腳本來(lái)阻止它的攻擊。我就這樣一直在Bob的屁股后面疲于奔命。
問(wèn)題出在哪里呢？雖然我建立了功能完備的、滿(mǎn)足安全需求的防火墻系統(tǒng)并且快速的發(fā)現(xiàn)了網(wǎng)絡(luò)出現(xiàn)問(wèn)題的原因，但是我卻不能在第一時(shí)間內(nèi)對(duì)我的防火墻規(guī)則進(jìn)行調(diào)整來(lái)響應(yīng)Bob的攻擊。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)，被動(dòng)慌亂地快速對(duì)攻擊做出防范反應(yīng)，對(duì)防火墻規(guī)則配置腳本進(jìn)行修改不但是壓力巨大，而且效率低下。

ipdrop

如果能創(chuàng)建一個(gè)特殊的"ipdrop"腳本，其被設(shè)計(jì)為能方便地插入一個(gè)規(guī)則來(lái)阻塞指定的IP，那么將上面的工作將非常容易。通過(guò)該腳本阻塞某個(gè)IP將是非常容易的工作，只需要幾秒鐘就可以實(shí)現(xiàn)。而且通過(guò)該腳本還可以防止手工加入規(guī)則時(shí)容易出現(xiàn)的錯(cuò)誤。因此阻塞Bob的攻擊將變?yōu)榇_定其攻擊源地址。然后通過(guò)如下命令：

# ipdrop 129.24.8.1 on
IP 129.24.8.1 drop on.
ipdrop腳本將立即阻塞129.24.8.1。通過(guò)使用該腳本能顯著地提高你的防衛(wèi)能力。下面就是ipdrop腳本的實(shí)現(xiàn)：
The ipdrop bash script

#!/bin/bash
source /usr/local/share/dynfw.sh
args 2 $# "${0} IPADDR {on/off}" "Drops packets to/from IPADDR. Good for obnoxious networks/hosts/DoS"
if [ "$2" == "on" ]
then
#rules will be appended or inserted as normal
APPEND="-A"
INSERT="-I"
rec_check ipdrop $1 "$1 already blocked" on
record ipdrop $1
elif [ "$2" == "off" ]
then
#rules will be deleted instead
APPEND="-D"
INSERT="-D"
rec_check ipdrop $1 "$1 not currently blocked" off
unrecord ipdrop $1
else
echo "Error: "off" or "on" expected as second argument"
exit 1
fi
#block outside IP address thats causing problems
#attackers incoming TCP connections will take a minute or so to time out,
#reducing DoS effectiveness.
iptables $INSERT INPUT -s $1 -j DROP
iptables $INSERT OUTPUT -d $1 -j DROP
iptables $INSERT FORWARD -d $1 -j DROP
iptables $INSERT FORWARD -s $1 -j DROP
echo "IP ${1} drop ${2}."

ipdrop:解釋

從上面的腳本源代碼中最后四行內(nèi)容可以看到實(shí)際的命令是在防火墻表中插入適當(dāng)?shù)囊?guī)則。可以看到$INSERT變量的值取決于在命令行參數(shù)中是使用"on"還是"off"模式。當(dāng)iptables行被執(zhí)行時(shí)特定的規(guī)則將被適當(dāng)?shù)牟迦牖騽h除。
現(xiàn)在我們看看這些規(guī)則本身的功能，它們能和任何類(lèi)型的防火墻一起發(fā)揮作用，甚至在沒(méi)有部署防火墻的系統(tǒng)上。需要的條件僅僅是支持iptables的 Linux2.4版本的內(nèi)核。我們阻塞來(lái)自惡意IP的攻擊數(shù)據(jù)報(bào)(第一條iptables語(yǔ)句)，阻塞發(fā)向惡意攻擊IP的數(shù)據(jù)報(bào)(第二條iptables 語(yǔ)句)，并且對(duì)該IP關(guān)閉任意方向的數(shù)據(jù)轉(zhuǎn)發(fā)(最后兩條iptables工具)。一旦這些規(guī)則發(fā)揮作用系統(tǒng)將丟棄滿(mǎn)足這些條件的任何數(shù)據(jù)報(bào)。
另外一個(gè)需要注意的是：腳本中調(diào)用了"rec_check", "unrecord", "record",和"args"。這些都是定義在"dynfw.sh"中的特殊的bash函數(shù)。"record"函數(shù)實(shí)現(xiàn)將被阻塞的IP記錄在文件 /root/.dynfw-ipdrop文件中，而"unrecord"則是將其從文件/root/.dynfw-ipdrop中去除。 "rec_check"函數(shù)是在發(fā)現(xiàn)試圖重新阻塞某個(gè)已經(jīng)阻塞的IP地址或取消某個(gè)沒(méi)有被阻塞的IP地址時(shí)輸出錯(cuò)誤信息并停止腳本執(zhí)行。"args"函數(shù)實(shí)現(xiàn)確保命令行參數(shù)的正確性，并實(shí)現(xiàn)打印腳本幫助命令。文件dynfw-1.0.tar.gz包含所有的這些工具，具體情況請(qǐng)見(jiàn)文章最后的資源部分。

tcplimit

如果你需要對(duì)某個(gè)特殊的基于TCP的網(wǎng)絡(luò)服務(wù)的使用進(jìn)行限制(例如在端系統(tǒng)上產(chǎn)生嚴(yán)重負(fù)載時(shí))，則tcplimit腳本則可以幫助你達(dá)到這個(gè)目的，該腳本使用TCP端口、一個(gè)率值和"on"或"off"作為參數(shù)：

# tcplimit 873 5 minute on
Port 873 new connection limit (5/minute, burst=5) on.

tcplimit使用iptables的"state"模塊(應(yīng)確保在內(nèi)核中打開(kāi)該選項(xiàng)或加載模塊)來(lái)實(shí)現(xiàn)在某段時(shí)間內(nèi)只允許特定數(shù)目的連接請(qǐng)求通過(guò)。在本例中防火墻將限制每分鐘只允許5個(gè)新連接到我的rsync服務(wù)器(port 873)。當(dāng)然你可以根據(jù)需要選擇時(shí)間單位為秒鐘/分鐘/小時(shí)。
tcplimit提供了一個(gè)限制對(duì)非關(guān)鍵服務(wù)的使用的非常好的方法－這樣大量到非關(guān)鍵服務(wù)的數(shù)據(jù)不會(huì)破壞服務(wù)器。在上面的例子中使用tcplimit 來(lái)設(shè)置使用rsync的限制，以防止tsync數(shù)據(jù)占用了Internet連接的所有帶寬。其中連接服務(wù)限制信息記錄在文件/root/.dynfw- tcplimit中。若想關(guān)閉該限制只需要鍵入如下命令：

# tcplimit 873 5 minute off
Port 873 new connection limit off.

tcplimit通過(guò)在"filter"表中創(chuàng)建一個(gè)新的規(guī)則鏈來(lái)實(shí)現(xiàn)。這個(gè)新的規(guī)則鏈將拒絕所有超過(guò)指定限制的數(shù)據(jù)報(bào)，同時(shí)將一個(gè)規(guī)則插入到 INPUT規(guī)則鏈中，其將所有的到目標(biāo)端口(在本例中是873端口)的新連接數(shù)據(jù)報(bào)定向到這個(gè)新的規(guī)則鏈。新規(guī)則鏈只會(huì)影響新的超過(guò)限制的連接而不會(huì)影響已經(jīng)建立的連接。
當(dāng)tcplimit定義的規(guī)則被關(guān)閉，INPUT規(guī)則和新規(guī)則鏈則會(huì)被刪除。象ipdrop一樣其tcplimit可以和任何類(lèi)型的防火墻一起工作。

host-tcplimit

host-tcplimit和tcplimit非常類(lèi)似，但是它是限制來(lái)自一個(gè)特定的IP的到服務(wù)器上某個(gè)特定端口的TCP連接數(shù)量。host -tcplimit在防止某個(gè)特定的人濫用你的網(wǎng)絡(luò)資源時(shí)非常有用處。例如你維護(hù)有一個(gè)CVS服務(wù)器，有一天突然發(fā)現(xiàn)一個(gè)特殊的新開(kāi)發(fā)者出現(xiàn)了，他好像建立了一個(gè)腳本每十分鐘更新它的資源。占用了大量的網(wǎng)絡(luò)資源。然后你就給他發(fā)送信件說(shuō)明他的行為的錯(cuò)誤之處。但是你收到他如下的回信：

Hi guys!
Im really excited to be part of your development project. I just set up a
script to update my local copy of the code every ten minutes. Im about to
leave on a two-week cruise, but when I get back, my sources will be totally
up-to-date and Ill be ready to help out! Im heading out the door now...see
you in two weeks!

Sincerely,
Mr. Newbie
對(duì)于這種情況，使用host-tcplimit可以非常容易的解決問(wèn)題：

# host-tcplimit 1.1.1.1 2401 1 day on

現(xiàn)在Newbie先生(IP地址為1.1.1.1)被限制為每天只能進(jìn)行一次CVS連接從而節(jié)省了網(wǎng)絡(luò)帶寬。

user-outblock

最后一個(gè)，也是這幾個(gè)防火墻腳本中最有趣的是user-outblock。這個(gè)腳本提供了一種實(shí)現(xiàn)允許某個(gè)用戶(hù)通過(guò)SSH或telnet登錄到系統(tǒng)上但是不允許它通過(guò)命令行命令建立向外連接去的一個(gè)很理想的方法。下面是一個(gè)應(yīng)用user-outblock的一個(gè)示例場(chǎng)合。假設(shè)一個(gè)特殊的家庭在我們的ISP擁有一個(gè)賬號(hào)。媽媽和爸爸使用圖形化的email客戶(hù)端程序閱讀自己的信件，偶爾會(huì)沖浪Internet，但是他們的兒子卻是一個(gè)熱衷的 hacker分子，他常常使用它的shell訪問(wèn)權(quán)限來(lái)對(duì)其他的機(jī)器做一些淘氣的事情。
有一天你發(fā)現(xiàn)他和若干系統(tǒng)建立ssh連接，發(fā)現(xiàn)目標(biāo)地址是屬于巴基斯坦軍事網(wǎng)站。你希望幫助這個(gè)小孩子走向正道，因此你采取了以下的行動(dòng)：
首先，你檢查自己的系統(tǒng)并確保去掉了所有和網(wǎng)絡(luò)相關(guān)的程序的suid位，例如ssh：

# chmod u-s /usr/bin/ssh
現(xiàn)在他企圖使用的任何和網(wǎng)絡(luò)相關(guān)的進(jìn)程都會(huì)擁有自己的UID。你現(xiàn)在可以使用user-outblock來(lái)阻塞所有該UID發(fā)出的的向外TCP連接(假設(shè)其UID為2049)：

# user-outblock 2049 on
UID 2049 block on.

現(xiàn)在他只能登錄到系統(tǒng)中閱讀自己的信件，但是他不能使用你的服務(wù)器建立SSH連接。

資源

* 由于發(fā)現(xiàn)動(dòng)態(tài)這些防火墻腳本非常有用，因此將它們打包(http://www.vfocus.net/blog/archives/tools/dynfw-1.0.tar.gz)以供下載安裝。
要進(jìn)行安裝只需要解壓縮包，運(yùn)行其中的install.sh文件。該腳本將安裝一個(gè)共享bash腳本為 /usr/local/share/dynfw.sh，并且安裝動(dòng)態(tài)防火墻腳本到/usr/local/sbin目錄下。若希望安裝在其他腳本中，則只需要在執(zhí)行install.sh以前執(zhí)行：
# export PREFIX=/usr
還可以在dynamic firewall scripts section to the Gentoo Linux Web site下載dynfw的最新版本1.0.1。

* tcpdump是一個(gè)非常重要的探測(cè)底層的IP報(bào)交換的工具，使用它可以驗(yàn)證防火墻工作是否正常。