Linux系统中的防火墙技巧及其应用






　　概述
　　在众多的网络防火墙产品中，Linux操作系统上的防火墙软件特色明显。它们和Linux一样，具备壮大的功能，大多是开放软件，不仅可免费使用而且源代码公开。这些上风是其他防火墙产品不可比较的。选用这类软件确切是最低硬件需要的可靠、高效的解决方案。但用户最关怀的还是安全系统的性能，有关部分根据网络安全考察和分析曾得出论断：网络上的安全破绽和隐患绝大局部是因网络设置不当引起的。使用Linux|平|台|泛亚娱乐|上的这些优良软件同样也存在这样的问题。要使系统安全高效地运行，装置职员和管理人员必须可以懂得该软件产品的运行机制并能深刻分析所采用的防火墙设置策略会不会被人应用。本文仅对Linux|平|台|泛亚娱乐|上的IP包过滤防火墙软件Ipchains进行探讨。
　　防火墙的根本模型
　　基于TCP/IP协议簇的Internet网际互联完整依附于网络层以上的协议栈网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议。斟酌到网络防火墙是为了坚持网络连通性而设破的安全机制，因此防火墙技术就是通过剖析、控制网络以上层协议特点，实现被维护网络所需安全策略的技术。构建防火墙有三类基本模型：即应用|代|理|泛亚娱乐|网关、电路级网关(Circuit Level Gateway)和网络层防火墙。它们波及的泛亚娱乐技术:yuan01.bc88.info/fei有应用|代|理|泛亚娱乐|技术和包过滤技术等。
　　应用|代|理|泛亚娱乐|网关许可内部网络上的用户通过防火墙非直接地拜访Internet。它根据用户的恳求取代用户与目标地进行连接。由于应用|代|理|泛亚娱乐|网关在应用层进行|代|理|泛亚娱乐|，所以它可以对应用协议进行掌握，而且还可以在应用级进行记载。它比网络级防火墙的安全办法更加严厉，由于它能供给更具体的审计讲演、跟踪用户和应用过程以及IP包的参数。然而，采取应用层防火墙对网络机能有较大影响。因为对任何用户的要求都要求应用|代|理|泛亚娱乐|进程为其提供给用服务，所以速度较慢，并且不如网络层防火墙那样透明以及保护不便等。在Linux上实现这种防火墙模型的软件有squid等。
　　电路级网关与应用|代|理|泛亚娱乐|网关相似，但进行的|代|理|泛亚娱乐|通常与利用无关。这样就失去了详尽记载和准确定义规则的才能。电路级网关是一台运行网关应用程序的设备，它只支撑TCP/IP应用，使用TCP端口实现网络资源和用户应用程序之间的通信。它还请求客户端使用特别软件才干为应用到运用的通讯服务。SOCKS是Linux上实现这类防火墙模型的软件。
　　网络层的IP包过滤防火墙在IP包程度上工作。它根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过滤进程是检讨包中的源、目的端口,以及连接状况等信息。这种防火墙比较安全，但缺乏足够的记录信息。它可以阻拦外部网络访问被掩护的内部网络，但不能记录谁访问了公然的系统，以及谁从内部网络访问Internet。在Linux内核中支持IP包过滤，所以不需要增添其他软件就可以构建包过滤防火墙，Ipchains软件包是Linux|平|台|泛亚娱乐|上一个功能强盛的包过滤策略管理软件，用于设置牢靠的防火墙系统。
　　Ipchains及IP伪装原理
　　在Linux系统上，支持包过滤的中心中有三个规则列表，这些列表称为防火墙链。三个链分离称为输入链、输出链和转发链。当一个包从Internet进入配置了防火墙的Linux主机，内核使用输入链决定该包的取舍。如果该包没有被丢弃，则内核继而调用转发链决定是否将包发送到某个出口，最后包要被发出前，内核通过输出链来做决定。
　　
　　图1 Ipchains 流程图
　　一个链是一系列规则的列表。每个规则划定：如果包的包头与规矩相匹配，那么对包进行相应的处置。如果该规则与包不匹配，则引入链中的下一条规则。最后，假如没有要引入的规则，内核依据内置策略决议如何做。在一个有平安意识的体系中，该规则通常告知内核将包拒绝或丢弃。
　　通过恰当配置IP过滤规则，即三条链的过滤策略，该防火墙可以节制输入的包来自信赖的IP网段，也可配置为只对外开放指定的TCP/UDP端口,。这些策略可分辨指定到防火墙主机的某固定接口装备如以太网卡、PPP衔接等。除这三条链外，咱们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链履行，实现后再回到主链，这使过滤规则可以相称机动。
　　在防火墙链中有一些特殊的跳转目的值如下表所示：
　　
　　 在防火墙链中的IP伪装是一个比包过滤策略更加安全的解决计划，它同时解决了Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时可能将其IP地址伪装成其余地址的机制。如果连接到Internet上的一个Linux主机存在IP伪装功效，那么与该Linux盘算机无论是在统一个局域网上仍是通过PPP连接的，只管它们没有正式的IP地址，都可与Internet连接。这象征着可将一系列主机藏在一个网关联统之后来访问Internet，它们的访问在外界看来是不可见的。
　　因为要假装的主机没有正式的IP地址，可以应用IANA(Internet Assigned Numbers Authority)保存的私有网络地址，即：
　　10.0.0.0～10.255.255.255????1个A类地址
　　172.16.0.0～172.31.255.255???16个连续B类地址
　　192.168.0.0～192.168.255.255??255个持续C类地址
　　在防火墙的转发链配置了IP伪装后，当内部网络上的主机向Internet发出访问的IP包时，内核将包中的源IP地址换成网关的IP地址，并记录被伪装的IP地址，然后转发这个包。当这个包的应答IP包从Internet进入网关时，内核会进行去IP伪装的操作，将目的地址调换成内部地址。IP伪装规则只能配置于转发链，通过适当配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口进行IP伪装。IP伪装对外部屏蔽了内部网络的细节，外部甚至不知到内部网络的存在，因而安全性更好。
　　构建IP防火墙的策略
　　一、基本配置方式
　　配置Ipchains防火墙基础上有两种方式: 第一种方式是先抛弃或谢绝所有的包，而后明确地指出容许合乎哪些前提的包通过。这种方式最保险，但当用户需要某些服务时，必须针对相应的服务进行修正，治理者必需明白应当翻开哪些服务跟端口。这种方式合适于仅包括服务器、不终端用户的小型网络。另一种方式是先接收所有的包，然后明白指出制止某些类型的包。这种方法使网络类型较为开放，只是对危险的或不须要的协定进行把持。例如为了减少网络的流量，能够禁止“CUSeeMe”的包。这种方式比拟轻易配置。