在任何通用的Linux操作系统中,内核包括了一些非常强大且非常灵活的防火墙代码,这个代码叫做Netfilter,不过我们大都通过用户空间命令iptables来引用它,Netfilter/iptables允许你的Linux内核检查所有通过你系统的网络通讯,基于一套非常丰富的标准来判定通讯是做什么的。
用iptables建立Linux防火墙是一个大的话题—已经有完整的书籍介绍它(Suehring, S., and Ziegler, R. Linux Firewalls, 3rd edition. Upper Saddle River, NJ: Novell Press, 2005),事实上,防火墙工程师本身是一个职业(实际上,我就是干这行的),因此,没有人能在一篇杂志文章中告诉你你需要知道的用iptables建立防火墙的每件事情。
但是我能提供iptables能做什么事情的一个概述,一些用于Linux防火墙设计的合理原则,建立不同类型防火墙的方便工具的描述,以及更多关于Linux防火墙的详细信息。
防火墙,或更精确地说数据包过滤器,可以用于许多方面,它可以用于本地单独的服务器和桌面系统提供主机级别的保护,阻止基于网络的攻击,用于网络结构层保护整个网络,阻止来自其他网络的攻击,以及重定向甚至改变网络数据包。
Linux防火墙可以做成基于Linux的专用硬件设备,如一台有多个网络接口的PC或一台普通的、单个接口的工作站或服务器。许多商业防火墙设备也是基于Linux/iptables的,与你想象的相反,如果部署在强大的硬件上,基于PC的Linux防火墙也能表现得相当好。
那些组成Linux防火墙的元素,它们为两个不同的角色服务,防火墙装置和基于PC的多接口防火墙被我叫做网络防火墙使用,它们作为专用的网络设备,逻辑上与IP路由器相当,路由器管理不同网络之间的通讯。(技术上,防火墙是路由器,它们仅挑剔路过它们的内容),网络防火墙也常常完成网络地址转换(NAT)功能,典型地,它们允许没有internet ip地址的主机能够访问互联网。
然后,介绍下被我称为本地防火墙—工作站或服务器的主要功能根本不是防火墙,但是它们需要保护它们自己,据我看来,任何连接到互联网的计算机,无论是服务器还是工作站,都应该运行一个本地防火墙策略,至于Linux系统,我们还没有借口不使用Linux内置的Netfilter/iptables功能,而且,这是最容易创建的防火墙脚本类型,本文稍后会进行展示。
防火墙设计原则
在我们开始讨论Linux防火墙工具前,我们应该先了解一下一些常见的防火墙设计原则,无论你用iptables保护一个独立的主机还是整个网络这些原则都是(或应该是)同等有效的。
首先,这里有一些术语:
◆数据包过滤器:检查单个网络数据包,与一套规则进行对比,并按照规则进行处理。
◆防火墙策略:一套具体的iptables命令或一套iptables命令执行的高级设计目标。
◆防火墙规则或数据包过滤规则:防火墙策略的独立组件—独立的iptables命令重复。
建立包过滤规则的第一步是精确地判断你希望你的防火墙做什么—也就是用公式表达你的高标准的防火墙策略,例如:如果我为工作站创建一个本地防火墙脚本,我的逻辑策略看起来象下面这样:
1、允许出站DNS查询,通过HTTP和HTTPS进行网上冲浪,通过IMAP检索E-mail,从本地系统到整个外部网络的出站SSH和出站FTP传输。
2、允许从我地下室的其他工作站到本系统的入站SSH连接。
3、阻止任何其它的出入站内容。
跳过这一定义你高标准策略的重要一步就如编写软件前没有先定义需求一样。
我建议无论你对策略做出什么决定,你都应该将其象限制一样要是可行的,许多年以前Marcus Ranum就非常简明地指出了设计防火墙的指导原则:“不能清楚地允许就是禁止”,这个道理相当简单,因为你认为只要不是必须的网络传输,是不允许被滥用的,尽管如此并不意味着某些攻击者就不能滥用它了。
因此,每个防火墙策略都必须使用一个阻止规则结束,阻止所有未在前面策略语句特殊指出的通讯。
这不仅在网络/企业防火墙策略上是真理,在个人/本地防火墙上也一样,在个人防火墙上一个常犯的错误是允许所有的出站传输,假设所有本地的进程都是受信任的,如果你的系统被一个蠕虫、木马或病毒感染,这个假设将被击穿。
在一个如被感染的事件中,你或许不想恶意软件能使用你的系统发送垃圾邮件,特别是分布式拒绝服务攻击等等,因此,优先限制的不仅只有入站(来自外部)网络传输,而且还有出站(来自内部/本地)传输,即使是在桌面或服务器系统的本地防火墙策略也应该如此。
另外一个重要的防火墙设计原则是无论什么时候都将类似的危险组织在一起,换句话说,系统和网络有不同的信任等级和不同的暴露危险的等级,它们都应该用网络防火墙进行互相隔离。
在工作中这个原则的典型例子是DMZ或非军事区,它是一个包含某个组织的接近互联网的所有系统,图1显示了包括一个组织的工作组的内部网络、其他非共享网络资源和互联网的关系。
图1一个DMZ网络
使用防火墙从互联网和内部网(受信任的)分割出一个DMZ网络,你可以用非常细粒度的方法编写规则,来定义这3个区域内的主机如何与其他区域的主机进行交互。象这样的规则公式,你应该会认为暴露给攻击者的范围是接近无限大的,在DMZ内的主机应该被视为半受信任的,也就是说,你应该假设在DMZ内的主机可能会泄密,因此,你应该尽可能少允许从DMZ到互联网的传输。
你也应该考虑遭到破坏的DMZ内的主机对外部网络的威胁,如果一个来自互联网的攻击者破坏了你的DNS服务器,例如:甚至如果攻击者试图进入你的内部网,但被你的防火墙规则阻止了,那个攻击者仍然可以让你的组织受困,如果被破坏的服务器能连接到互联网上其他任意系统的话,甚至还会引起法律上的问题。防火墙应该给用户和系统完成它们工作需要的最小网络传输权限,非必须的数据流迟早会滥用网络。
你在图1中或许注意到了,那里使用了2个防火墙,这是个典型的夹住DMZ区域的架构,但是许多组织选择了更经济的多宿主防火墙DMZ架构(图2),它是只有一个单独的防火墙,具有多个网络接口,限制不同网络间的通讯,虽然双防火墙拓扑结构能提供更好的保护,但也有弱点,例如:外部防火墙本身在某种意义上可能泄密。只要你足够细心地编写规则,多宿主防火墙接近同样的作用。
图2 DMZ和多宿主防火墙
无论你是使用一个单一的多宿主防火墙还是成对使用防火墙,每个网络区域(内部、外部/互联网和DMZ)连接到一个专用的防火墙物理网络接口是非常重要的,是的,这让你的防火墙有单点故障,但是,如果某个网络区域内的主机路由数据包到其他网络区域不经过防火墙,你的防火墙就没有什么价值了。
我介绍的最后一个防火墙设计原则目前只能用于多接口防火墙(也就是说,不能用于本地/个人防火墙):总是使用反欺骗规则。
回顾图1中面向互联网的防火墙,它有2个网卡接口:内部(面向DMZ)和外部(面向互联网),假设图1中的内部网络使用c类网络空间192.168.55.0/24内的ip地址,DMZ使用192.168.77.0/24。
因此,防火墙能丢掉抵达互联网接口的源自这2个私有ip范围内的ip地址的任何数据包,这些数据包容易被欺骗,攻击者有时伪造这些数据包的源ip地址,试图通过防火墙或战胜其他基于源ip的认证机制(TCPwrappers,hosts.equiv等)。
事实上,在任何防火墙上面向互联网的网络接口应该丢掉源ip地址来自际任何非internet路由的ip范围的数据包,特别是那些在RFC1918中定义的:10.0.0.0/8,172.16.0.0/12和192.168.0.0/16(如果这些号码属于CIDR【译者注:无类别域间路由】标记法范围内的ip地址,如果你弄不清楚也不要着急,稍后会介绍一些iptables工具)。
为了更通俗易懂的方式说明这个重要的防火墙设计原则,你应该配置你的防火墙丢掉源ip地址方向不对的任何数据包。
以上就是所有防火墙应该做的事情,现在我们开始看看如何做这些事情。
所有Linux防火墙用同一种方式工作,一系列iptables命令按顺序执行将防火墙规则载入内核内存空间,所有进入网络接口的数据包被内核用这些规则进行评估和控制,这些规则组织在一个表里(以前甚至现在也偶尔被叫做链表),规则可以从任何表在任何时间通过iptables命令插入、附加、修改和删除,并且立即生效。
创建一个Linux防火墙策略使用最多的方法是从零开始编写一个iptables启动脚本,然后象管理其他在init.d下的启动脚本一样进行管理,我就是这样管理我的Linux防火墙的,如果你理解网络的话它工作得很好,使用起iptables命令来你也会感到舒适,你不用对多个不同的防火墙分别管理或者在任何给定的防火墙上使用大于两个的不同策略。
学习如何编写你自己的iptables脚本,请参考http://www.fwbuilder.org/和http://www.netfilter.org/。正如我前面说的那样,我不能在这里简单地阐述这个主题,(注意不同的Linux发行版控制启动脚本的方法不一样),如果你想全部利用iptables的强大功能,包括NAT,自定义链表和数据包损坏,这才是真正的最好的方法。
假设你不能或不会,但又想直接编写一个iptables脚本,这里有一些工具提示能帮助到你。
个人(本地)防火墙
首先我要在这里介绍的iptables工具是在你的系统上已经存在的,今天,几乎所有的Linux发行版在安装工具中都包括了防火墙向导,这个向导用于创建一个本地策略,也就是说,一个个人防火墙脚本,它仅仅能保护本地主机。
这些向导都以相同的方式工作,他们问你哪个本地服务允许外部主机访问,例如:如果我在一个SMTP邮件服务器上安装了Linux,我仅会允许TCP端口25的入站连接(SMTP),也可能允许TCP端口22(ssh,我需要用它进行远程管理)。
基于你的应答,这个向导将创建一个包含iptables命令的启动脚本,允许你指定了到服务/端口的入站请求,阻止其他所有的入站(来自外部)请求,允许所有的出站(来自本地)网络通讯。
但是,第三个命令【即允许所有出站通讯】违背了Ranum的原则(拒绝所有没有明确允许的通讯),难道不是吗?是的,确实是这样,这就是为什么我要为本地防火墙策略自己编写我的iptables脚本的原因了,你需要自己判断所处的位置,你可以允许一些入站,允许所有出站,这是最简单的本地防火墙策略了,如果你担心恶意软件的伤害就要手工写有更多限制的脚本,或者使用一个比Linux安装程序更复杂的防火墙工具。
注意与Linux安装程序其他功能相比而言,这些防火墙向导通常可以在以后再次运行,例如:在SUSE中通过点击‘YaST安全和用户防火墙模块’。
两个网络防火墙工具
我们已经谈论了最困难的方法(自己编写iptables启动脚本)和最容易的方法(用Linux安装程序自动生成一个本地防火墙脚本),但是,还是有许多其他工具用于生成和管理复杂的防火墙脚本的,最流行的两个工具是Shorewall(http://www.shorewall.net/)和Firewall Builder(http://www.fwbuilder.org/)。
结论
几年前,《Linux Journal》将iptables提名为年度安全工具,这真的是一个不平常的成就,如果你比较关心网络安全,你将希望一探iptables的强大功能,当然不止我在本文描述的内容了,开始从iptables(8)帮助页【译者注:man 8 iptables或man iptables 8】作为学习起点,然后在Netfilter主页(http://www.netfilter.org/)上看HOW-TO进行提高。
无论你是用iptables保护你的笔记本电脑还是你的整个企业网络,我都希望你从本文找到有用的内容。安全至上!
