概述
在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著。它们和Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问题。要使系统安全高效地运行,安装人员和管理人员必须能够理解该软件产品的运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。
防火墙的基本模型
基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型:即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火墙。它们涉及的技术有应用代理技术和包过滤技术等。
应用代理网关允许内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用户与目的地进行连接。由于应用代理网关在应用层进行代理,所以它可以对应用协议进行控制,而且还可以在应用级进行记录。它比网络级防火墙的安全措施更加严格,因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数。然而,采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要求应用代理进程为其提供应用服务,所以速度较慢,并且不如网络层防火墙那样透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。
电路级网关与应用代理网关类似,但进行的代理通常与应用无关。这样就失去了详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备,它只支持TCP/IP应用,使用TCP端口实现网络资源和用户应用程序之间的通信。它还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现这类防火墙模型的软件。
网络层的IP包过滤防火墙在IP包水平上工作。它根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全,但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络,但不能记录谁访问了公开的系统,以及谁从内部网络访问Internet。在Linux内核中支持IP包过滤,所以不需要增加其他软件就可以构建包过滤防火墙,Ipchains软件包是Linux平台上一个功能强大的包过滤策略管理软件,用于设置可靠的防火墙系统。
Ipchains及IP伪装原理
在Linux系统上,支持包过滤的核心中有三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发链。当一个包从Internet进入配置了防火墙的Linux主机,内核使用输入链决定该包的取舍。如果该包没有被丢弃,则内核继而调用转发链决定是否将包发送到某个出口,最后包要被发出前,内核通过输出链来做决定。
图1 Ipchains 流程图
一个链是一系列规则的列表。每个规则规定:如果包的包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入链中的下一条规则。最后,如果没有要引入的规则,内核根据内置策略决定如何做。在一个有安全意识的系统中,该规则通常告诉内核将包拒绝或丢弃。
通过适当配置IP过滤规则,即三条链的过滤策略,该防火墙可以控制输入的包来自信任的IP网段,也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外,我们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执行,完成后再回到主链,这使过滤规则可以相当灵活。
在防火墙链中有一些特殊的跳转目标值如下表所示:
在防火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案,它同时解决了Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具有IP伪装功能,那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接的,尽管它们没有正式的IP地址,都可与Internet连接。这意味着可将一系列主机藏在一个网关系统之后来访问Internet,它们的访问在外界看来是不可见的。
由于要伪装的主机没有正式的IP地址,可以使用IANA(Internet Assigned Numbers Authority)保留的私有网络地址,即:
10.0.0.0~10.255.255.255????1个A类地址
172.16.0.0~172.31.255.255???16个连续B类地址
192.168.0.0~192.168.255.255??255个连续C类地址
在防火墙的转发链配置了IP伪装后,当内部网络上的主机向Internet发出访问的IP包时,内核将包中的源IP地址换成网关的IP地址,并记录被伪装的IP地址,然后转发这个包。当这个包的应答IP包从Internet进入网关时,内核会进行去IP伪装的操作,将目的地址替换成内部地址。IP伪装规则只能配置于转发链,通过适当配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口进行IP伪装。IP伪装对外部屏蔽了内部网络的细节,外部甚至不知到内部网络的存在,因此安全性更好。
构建IP防火墙的策略
一、基本配置方式
配置Ipchains防火墙基本上有两种方式: 第一种方式是先丢弃或拒绝所有的包,然后明确地指出允许符合哪些条件的包通过。这种方式最安全,但当用户需要某些服务时,必须针对相应的服务进行修改,管理者必须清楚应该打开哪些服务和端口。这种方式适合于仅包含服务器、没有终端用户的小型网络。另一种方式是先接受所有的包,然后明确指出禁止某些类型的包。这种方式使网络类型较为开放,只是对危险的或不需要的协议进行控制。例如为了减少网络的流量,可以阻止“CUSeeMe”的包。这种方式比较容易配置。
二、不应该过滤的包
在开始过滤某些不想要的包之前要注意以下内容:
● ICMP包
ICMP包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致不能得到“Host unreachable”或“No route to host”等信息。ICMP包还用于MTU发现,某些TCP实现使用了MTU发现来决定是否进行分段。MTU发现通过发送设置了不进行分段的位的包探测,当得到的ICMP应答表示需要分段时,再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包),则本地主机不减少MTU大小,这将导致测试无法停止或网络性能下降。
● 到DNS的TCP连接
如果要拦阻出去的TCP连接,那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节,客户端将使用TCP连接,并仍使用端口53接收数据。若禁止了TCP连接,DNS大多数情况下会正常工作,但可能会有奇怪的延时故障出现。如果内部网络的DNS查询总是指向某个固定的外部DNS服务器,可以允许本地域端口到该服务器的域端口连接。
● 主动式FTP的TCP连接
FTP有两种运作方式,即传统的主动式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下,FTP 服务器发送文件或应答LS命令时,主动和客户端建立TCP连接。如果这些TCP连接被过滤,则主动方式的FTP将被中断。如果使用被动方式,则过滤远地的TCP连接没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。
三、针对可能的网络攻击
防火墙的性能是否优良关键在于其配置能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特点设定完善的安全策略。以网络常见的“ping of death”攻击为例,“ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普通的ICMP包大都不需要到分段的程度,阻挡ICMP分段只拦阻大的“ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻击。
TurboLinux平台上的Ipchains防火墙实例
一、 应用背景
在TurboLinux 6.1平台上实现IP包过滤防火墙,将内部网络配置为IP伪装方式访问Internet。
内部网络与防火墙间用以太网连接,内部网址取IANA的C类地址192.168.1.*。防火墙与外部网络通过modem和电话线与PPP服务器连接(连接示意图如图2所示)。
二、准备工作
1. 检查Linux系统是否支持IP 伪装。输入命令:# ls /proc/sys/net/ipv4,若存在“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”等文件则内核已支持IP 伪装,否则需要重新编译内核。
2. 配置网卡和PPP连接的IP地址,这部分可查阅相关资料。
三、配置命令
编辑配置命令文件/etc/rc.d/rc.firewall,将防火墙的配置命令写成执行脚本。
# 打开系统内核的IP转发功能
echo “1”
/proc/sys/net/ipv4/ip_forward
# 打开系统内核的自动IP分段重组功能
echo“1”
/proc/sys/net/ipv4/ip_always_defrag
# 设定IP伪装的超时时间,TCP会话超时为7200秒,TCP/IP的“FIN”分组收到后会话的延迟时间为10秒,UDP超时160秒。
/sbin/ipchains/ -M -S 7200 10 160
# 设定内部网络的IP伪装,规定转发链规则
/sbin/ipchains -P forward DENY
/sbin/ipc