|
第1 章��、基于路由器的包過濾防火墻
1.1 包過濾防火墻的一般概念
1.1.1 什么是包過濾防火墻
包過濾防火墻是用一個軟件查看所流經(jīng)的數(shù)據(jù)包的包頭(header)��,由此決定整個包的命運。它可能會決定丟棄(DROP)這個包����,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執(zhí)行其它更復雜的動作��。
在Linux系統(tǒng)下,包過濾功能是內(nèi)建于核心的(作為一個核心模塊����,或者直接內(nèi)建),同時還有一些可以運用于數(shù)據(jù)包之上的技巧���,不過最常用的依然是查看包頭以決定包的命運��。
1.1.2 包過濾防火墻的工作層次
包過濾是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型�,其防火墻工作在網(wǎng)絡(luò)層。
1.1.3 包過濾防火墻的工作原理
(1)使用過濾器�。數(shù)據(jù)包過濾用在內(nèi)部主機和外部主機之間, 過濾系統(tǒng)是一臺路由器或是一臺主機��。過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過����。用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器。
數(shù)據(jù)包過濾是通過對數(shù)據(jù)包的IP頭和TCP頭或UDP頭的檢查來實現(xiàn)的���,主要信息有:
* IP源地址
* IP目標地址
* 協(xié)議(TCP包��、UDP包和ICMP包)
* TCP或UDP包的源端口
* TCP或UDP包的目標端口
* ICMP消息類型
* TCP包頭中的ACK位
* 數(shù)據(jù)包到達的端口
* 數(shù)據(jù)包出去的端口
在TCP/IP中�����,存在著一些標準的服務(wù)端口號��,例如�,HTTP的端口號為80�����。通過屏蔽特定的端口可以禁止特定的服務(wù)�。包過濾系統(tǒng)可以阻塞內(nèi)部主機和外部主機或另外一個網(wǎng)絡(luò)之間的連接����,例如�����,可以阻塞一些被視為是有敵意的或不可信的主機或網(wǎng)絡(luò)連接到內(nèi)部網(wǎng)絡(luò)中����。
(2)過濾器的實現(xiàn)��。數(shù)據(jù)包過濾一般使用過濾路由器來實現(xiàn)���,這種路由器與普通的路由器有所不同����。
普通的路由器只檢查數(shù)據(jù)包的目標地址��,并選擇一個達到目的地址的最佳路徑���。它處理數(shù)據(jù)包是以目標地址為基礎(chǔ)的�����,存在著兩種可能性:若路由器可以找到一個路徑到達目標地址則發(fā)送出去�����;若路由器不知道如何發(fā)送數(shù)據(jù)包則通知數(shù)據(jù)包的發(fā)送者“數(shù)據(jù)包不可達”����。
過濾路由器會更加仔細地檢查數(shù)據(jù)包,除了決定是否有到達目標地址的路徑外���,還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包�����。“應(yīng)該與否”是由路由器的過濾策略決定并強行執(zhí)行的����。
路由器的過濾策略主要有:
* 拒絕來自某主機或某網(wǎng)段的所有連接�。
* 允許來自某主機或某網(wǎng)段的所有連接。
* 拒絕來自某主機或某網(wǎng)段的指定端口的連接��。
* 允許來自某主機或某網(wǎng)段的指定端口的連接����。
* 拒絕本地主機或本地網(wǎng)絡(luò)與其它主機或其它網(wǎng)絡(luò)的所有連接���。
* 允許本地主機或本地網(wǎng)絡(luò)與其它主機或其它網(wǎng)絡(luò)的所有連接。
* 拒絕本地主機或本地網(wǎng)絡(luò)與其它主機或其它網(wǎng)絡(luò)的指定端口的連接�����。
* 允許本地主機或本地網(wǎng)絡(luò)與其它主機或其它網(wǎng)絡(luò)的指定端口的連接�。
1.1.4 包過濾器操作的基本過程
下面做個簡單的敘述:
(1)包過濾規(guī)則必須被包過濾設(shè)備端口存儲起來。
(2)當包到達端口時��,對包報頭進行語法分析�����。大多數(shù)包過濾設(shè)備只檢查IP�、TCP���、或UDP報頭中的字段����。
(3)包過濾規(guī)則以特殊的方式存儲��。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同��。
(4)若一條規(guī)則阻止包傳輸或接收,則此包便不被允許�。
(5)若一條規(guī)則允許包傳輸或接收,則此包便可以被繼續(xù)處理�。
(6)若包不滿足任何一條規(guī)則,則此包便被阻塞��。
1.1.5 包過濾技術(shù)的優(yōu)缺點
(1)優(yōu)點:
→對于一個小型的�、不太復雜的站點,包過濾比較容易實現(xiàn)��。
→因為過濾路由器工作在IP層和TCP層���,所以處理包的速度比代理服務(wù)器快���。
→過濾路由器為用戶提供了一種透明的服務(wù),用戶不需要改變客戶端的任何應(yīng)用程序��,也不需要用戶學習任何新的東西��。因為過濾路由器工作在IP層和TCP層�,而IP層和TCP層與應(yīng)用層的問題毫不相關(guān)。所以�����,過濾路由器有時也被稱為“包過濾網(wǎng)關(guān)”或“透明網(wǎng)關(guān)”,之所被稱為網(wǎng)關(guān)�����,是因為包過濾路由器和傳統(tǒng)路由器不同����,它涉及到了傳輸層。
→過濾路由器在價格上一般比代理服務(wù)器便宜�����。
(2)缺點:
→一些包過濾網(wǎng)關(guān)不支持有效的用戶認證����。
→規(guī)則表很快會變得很大而且復雜�,規(guī)則很難測試。隨著表的增大和復雜性的增加���,規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能 性也會增加����。
→這種防火墻最大的缺陷是它依賴一個單一的部件來保護系統(tǒng)���。如果這個部件出現(xiàn)了問題���,會使得網(wǎng)絡(luò)大門敞開�����,而用戶其至可能還不知道���。
→在一般情況下,如果外部用戶被允許訪問內(nèi)部主機�����,則它就可以訪問內(nèi)部網(wǎng)上的任何主機��。
→包過濾防火墻只能阻止一種類型的IP欺騙��,即外部主機偽裝內(nèi)部主機的IP�����,對于外部主機偽裝外部主機的IP欺騙卻不可能阻止��,而且它不能防止DNS欺騙。
雖然�,包過濾防火墻有如上所述的缺點,但是在管理良好的小規(guī)模網(wǎng)絡(luò)上���,它能夠正常的發(fā)揮其作用�。一般情況下�,人們不單獨使用包過濾網(wǎng)關(guān),而是將它和其他設(shè)備(如堡壘主機等)聯(lián)合使用����。
1.2 Netfilter/iptables架構(gòu)
1.2.1 Linux下的包過濾防火墻管理工具
從1.1內(nèi)核開始,Linux系統(tǒng)就已經(jīng)具有包過濾功能了,隨著Linux內(nèi)核版本的不斷升級,Linux下的包過濾系統(tǒng)經(jīng)歷了如下3個階段:
→ 在2.0的內(nèi)核中,采用ipfwadm來操作內(nèi)核包過濾規(guī)則。
→ 在2.2的內(nèi)核中��,采用ipchains來控制內(nèi)核包過濾規(guī)則���。
→ 在2.4內(nèi)核中����,采用一個全新的內(nèi)核包過濾管理工具—iptables.
Linux因其健壯性��、可靠性����、靈活性以及幾乎無限范圍的可定制性而在IT界變得非常受歡迎。Linux具有許多內(nèi)置的能力��,使開發(fā)人員可以根據(jù)自己的需要定制其工具����、行為和外觀,而無需昂貴的第三方工具���。如果Linux系統(tǒng)連接到因特網(wǎng)或LAN���、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器,所要用到的一種內(nèi)置能力就是針對網(wǎng)絡(luò)上Linux系統(tǒng)的防火墻配置����������?梢栽贜etfilter/iptables IP信息包過濾系統(tǒng)(它集成在2.4.x版本的Linux內(nèi)核中)的幫助下運用這種能力����。Netfilter/iptables是與最新的2.4.x版本 Linux內(nèi)核集成的IP信息包過濾系統(tǒng)。
與ipfwadm和ipchains這樣的Linux信息包過濾方案相比�����,Netfilter/iptables信息包過濾系統(tǒng)是最新的解決方案,使用戶更易于理解其工作原理���,也具有更為強大的功能�。對于Linux系統(tǒng)管理員�����、網(wǎng)絡(luò)管理員以及家庭用戶(他們想要根據(jù)自己特定的需求來配置防火墻�、在防火墻解決方案上節(jié)省費用和對IP信息包過濾具有完全控制權(quán))來說,Netfilter/iptables系統(tǒng)十分理想�,且更容易被使用。
1.2.2 新一代的Netfilter網(wǎng)絡(luò)底層架構(gòu)
Netfilter是一種內(nèi)核中用于擴展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層構(gòu)架�����。Netfilter的設(shè)計思想是生成一個模塊結(jié)構(gòu)使之能夠比較容易的擴展����。新的特性加入到內(nèi)核中并不需要重新啟動內(nèi)核。這樣����,可以通過簡單的構(gòu)造一個內(nèi)核模塊來實現(xiàn)網(wǎng)絡(luò)新特性的擴展。為底層的網(wǎng)絡(luò)特性擴展帶來了極大的便利����,使更多從事網(wǎng)絡(luò)底層研發(fā)的人員能夠集中精力實現(xiàn)新的網(wǎng)絡(luò)特性。
事實上����,我們可以將Netfilter視為網(wǎng)絡(luò)協(xié)議堆棧中可以讓其它模塊操作網(wǎng)絡(luò)數(shù)據(jù)包的一系列“鉤子”,在數(shù)據(jù)包通過協(xié)議堆棧的某些特定的點上����, Netfilter框架允許一個模塊轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包、通過某種方式改變數(shù)據(jù)包���、在用戶空間(非內(nèi)核模式)對包進行排隊�,當然也可以根本不去干涉它�����。
(1)Netfilter/iptables系統(tǒng)的含義�。Linux 2.4內(nèi)核中Netfilter是新的用來實現(xiàn)防火墻的過濾器。 iptables是用來指定Netfilter規(guī)則的用戶工具���。
Iptables只是一個管理內(nèi)核包過濾的工具�����,它為用戶配置防火墻規(guī)則提供了方便���。
Iptables可以加入����、插入或刪除核心包過濾表格(鏈)中的規(guī)則�。實際上真正來執(zhí)行這些規(guī)則的netfilter及其相關(guān)模塊(如iptables模塊和nat模塊等)。
因此��,要使用Netfilter/iptables系統(tǒng)�,必須首先有2.4版本內(nèi)核的相關(guān)支持,同時必須安裝iptables軟件包��。在Red Hat 9.0發(fā)行版中�����,此系統(tǒng)是默認的配置�。
(2)使用Netfilter/iptables替代ipchains的原因:
→連接跟蹤
→自動碎片重裝
→改良的匹配規(guī)則
→增強的日志功能
→允許撕裂包中的任何信息
→用戶隊列允許用戶空間對包進行編程
→支持內(nèi)置包轉(zhuǎn)發(fā)而舍棄了IPMASQANDM
(3)Netfilter/iptables系統(tǒng)的主要功能
→狀態(tài)包過濾(連接跟蹤)
→各種網(wǎng)絡(luò)地址翻譯
→靈活、易擴展的急智機制
→大量的增強型補丁包
(4)Netfilter/iptables的用途
→建立Internet防火墻和基于狀態(tài)的包過濾
→用NAT和偽裝(masquerading)共享上網(wǎng)
→用NAT實現(xiàn)透明代理
→用修改IP包頭的ToS字段來實現(xiàn)更復雜的功能
→和tc+iprouter2配合使用可以實現(xiàn)QoS路由
(5)Netfilter/iptables系統(tǒng)的優(yōu)點�����。Netfilter/iptables的最大優(yōu)點是它可以配置有狀態(tài)的防火墻,這是 ipfwadm和ipchains等以前的工具都無法提供的一種重要功能���。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息��。在決定新的信息包過濾時����,防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。有4種有效狀態(tài)���,名稱分別為 ESTABLISHED��、INVALID�����、NEW和RELATED�����。其中:
→狀態(tài)ESTABLISHED指出該信息包屬于已建立的連接�,該連接一直用于發(fā)送和接收信息包并且完全有效����。
→狀態(tài)INVALID指出該信息包與任何已知的流或連接都不相關(guān)聯(lián)�,它可能包含錯誤的數(shù)據(jù)或頭����。
→狀態(tài)NEW意味著該項信息包已經(jīng)或?qū)有碌倪B接,或者它與尚味用于發(fā)送和接收信息包的連接相關(guān)聯(lián)���。
→狀態(tài)RELATED表示該信息包正在啟動新連接���,以及它與已建立的連接相關(guān)聯(lián)。
Netfilter/iptables的另一個重要優(yōu)點是�����,它使用戶可以完全控制防火墻配置和信息包過濾�����。您可以定制自己的規(guī)則來懣足您的特定需求��,從而只允許您想要的網(wǎng)絡(luò)流量進入系統(tǒng)����。
此外�,Netfilter/iptables是免費的�����,這對于那些想要節(jié)省費用的人來說十分理想��,它可以代替昂貴的防火墻解決方案�����。
總之���,最新的Linux內(nèi)核2.4.x具有Netfilter/iptables系統(tǒng)這種內(nèi)置的IP信息包過濾工具,它使配置防火墻和信息包過濾變得便宜且方便�。Netfilter/iptables系統(tǒng)使其用戶可以完全控制防火墻配置和信息包過濾。它允許為防火墻建立可定制化的規(guī)則來控制信息包過濾��。它還允許配置有狀態(tài)的防火墻��。
1.2.3 Netfilter/iptables的內(nèi)核空間和用戶空間
雖然netfilter/iptables IP信息包過濾系統(tǒng)被稱為單個實體����,但它實際上由兩個組件netfilter和iptables組成。
(1)內(nèi)核空間。Netfilter組件也稱為內(nèi)核空間(KernelSpace)���,是內(nèi)核的一部分���,由一些“表”(table)組成,每個表由若干“鏈”組成�,而每條鏈中可以有一條或數(shù)條規(guī)則(rule)。
(2)用戶空間���。Iptables組件是一種工具����,也稱為用戶空間(userspace)��,它使插入����、修改和除去信息包過濾表中的規(guī)則變得容易。
1.2.4 Netfilter/iptables過濾系統(tǒng)是如何工作的
Netfilter/iptables IP信息包過濾系統(tǒng)是一種功能強大的工具���,可用于添加�、編輯和除去規(guī)則��,這些規(guī)則是在做包過濾決定時所遵循的依據(jù)。這些規(guī)則存儲在專用的信息包過濾表中�����,而這些表集成在Linux內(nèi)核中�。在信息包過濾表中,規(guī)則被分組在鏈(chain)中�。
(1)用戶使用iptables命令在用戶空間設(shè)置過濾規(guī)則。通過使用用戶空間可以構(gòu)建用戶自己的定制過濾規(guī)則�����,這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中���。這些規(guī)則具有目標,它們告訴內(nèi)核對來自某些源���、前往某些目的地或具有某些協(xié)議類型的信息包做些什么����。如果某個信息包與規(guī)則匹配����,那么使用目標 ACCEPT允許該信息包通過。還可以使用目標DROP或REJECT來阻塞并殺死信息包。對于可對信息包執(zhí)行的其它操作����,還有許多其它目標。
根據(jù)規(guī)則所處理的信息包的類型��,可以將規(guī)則分組在鏈中���。
→處理入站信息包的規(guī)則被添加到INPUT鏈中�。
→處理出站信息包的規(guī)則被添加到OUTPUT鏈中����。
→處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到FORWARD鏈中。
這3個鏈是系統(tǒng)默認的表(filter)中內(nèi)置的3個默認主鏈���。每個鏈都有一個策略��,它定義默認目標����,也就是要執(zhí)行的默認操作�,當信息包與鏈中的任何規(guī)則都不匹配時,執(zhí)行此操作��。
(2)內(nèi)核空間接管過濾工作。當規(guī)則建立并將鏈放在filter表之后�, 就可以開始進行真正的信息包過濾工作了。這時內(nèi)核空間從用戶空間接管工作�����。
包過濾工作要經(jīng)過如下的步驟:
1)路由�。當信息包到達防火墻時,內(nèi)核先檢查信息包的頭信息�,尤其是信息包的目的地。我們將這個過程稱為路由��。
2)根據(jù)情況將數(shù)據(jù)包送往包過濾表(filter)的不同的鏈�。
→如果信息包源自外界并且數(shù)據(jù)包的目的地址是本機,而且防火墻是打開的�����,那么內(nèi)核將它傳遞到內(nèi)核空間信息包過濾表的INPUT鏈�����。
→如果信息包源自系統(tǒng)本機�����,并且此信息包要前往另一個系統(tǒng)�,那么信息包被傳遞到OUTPUT鏈。
→信息包源自廣域網(wǎng)前往局域網(wǎng)或相反方向的信息包被傳遞到FORWARD鏈��。
3)規(guī)則檢查�。將信息包的頭信息與它所傳遞到的鏈中的每條規(guī)則進行比較,看它是否與某條規(guī)則完全匹配�����。
→如果信息包與某條規(guī)則匹配��,那么內(nèi)核就對該信息包執(zhí)行由該項規(guī)則的目標指定的操作�����。
&如果目標為ACCEPT�����,則允許該信息包通過���,并將該包發(fā)給相應(yīng)的本地進程處理�����。
&如果目標為DROP或REJECT����,則不允許該信息包通過,并將該包阻塞并殺死�����。
→如果信息包與這條規(guī)則不匹配�,那么它將與鏈中的下一條規(guī)則進行比較。
→最后����,如果信息包與鏈中的任何規(guī)則都不匹配,那么內(nèi)核將參考該鏈的策略來決定如何處理該信息包�����。理想的策略應(yīng)該告訴內(nèi)核DROP該信息包�����。
1.2.5 Red Hat linux 9中的Netfilter/iptables
Red Hat linux 9使用2.4版本的內(nèi)核�����,并且內(nèi)核的編譯選項中包含對Netfilter的支持����,同時iptables軟件包是被默認安裝的,所以可以直接使用����。
另外,為了完成轉(zhuǎn)發(fā)功能����,必須打開系統(tǒng)內(nèi)核的IP轉(zhuǎn)發(fā)功能。使Linux變成路由器�����。
在Red Hat中有兩種方法:
(1)修改內(nèi)核變量ip_forward
#echo “1”>;/proc/sys/net/ipv4/ip_forward
(2)修改腳本/etc/sysconfig/network���。
將FORWARD_IPV4=false
改為FORWARD_IPV4=true
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
