第8章 Linux網(wǎng)絡(luò)安全.ppt

第8章網(wǎng)絡(luò)安全 本章學(xué)習(xí)目標(biāo)通過對本章的學(xué)習(xí) 讀者應(yīng)該掌握以下主要內(nèi)容 計算機(jī)網(wǎng)絡(luò)安全的基本概念及Linux系統(tǒng)安全 防火墻技術(shù)基本知識 用iptales實(shí)現(xiàn)包過濾型防火墻 8 1計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識 8 1 1網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全 其所涉及的領(lǐng)域相當(dāng)廣泛 這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅 從廣義來說 凡是涉及到網(wǎng)絡(luò)上信息的保密性 完整性 可用性 真實(shí)性和可控性的相關(guān)技術(shù)和理論 都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域 下面給出網(wǎng)絡(luò)安全的一個通用定義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) 不受偶然的或者惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠正常地運(yùn)行 網(wǎng)絡(luò)服務(wù)不中斷 因此 網(wǎng)絡(luò)安全在不同的環(huán)境和應(yīng)用中會得到不同的解釋 1 運(yùn)行系統(tǒng)安全 即保證信息處理和傳輸系統(tǒng)的安全 包括計算機(jī)系統(tǒng)機(jī)房環(huán)境的保護(hù) 法律 政策的保護(hù) 計算機(jī)結(jié)構(gòu)設(shè)計上的安全性考慮 硬件系統(tǒng)的可靠安全運(yùn)行 計算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全 數(shù)據(jù)庫系統(tǒng)的安全 電磁信息泄露的防護(hù)等 它側(cè)重于保證系統(tǒng)正常的運(yùn)行 避免因?yàn)橄到y(tǒng)的崩潰和損壞而對系統(tǒng)存儲 處理和傳輸?shù)男畔⒃斐善茐暮蛽p失 避免由與電磁泄漏 產(chǎn)生信息泄露 干擾他人 或受他人干擾 本質(zhì)上是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行 2 網(wǎng)絡(luò)上系統(tǒng)信息的安全 包括用戶口令鑒別 用戶存取權(quán)限控制 數(shù)據(jù)存取權(quán)限 方式控制 安全審計 安全問題跟蹤 計算機(jī)病毒防治 數(shù)據(jù)加密等 3 網(wǎng)絡(luò)上信息傳播的安全 即信息傳播后的安全 包括信息過濾等 它側(cè)重于防止和控制非法 有害的信息進(jìn)行傳播后的后果 避免公用通信網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?它本質(zhì)上是維護(hù)道德 法律或國家利益 4 網(wǎng)絡(luò)上信息內(nèi)容的安全 即討論的狹義的 信息安全 它側(cè)重于保護(hù)信息的保密性 真實(shí)性和完整性 避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽 冒充和詐騙等有損于合法用戶的行為 它本質(zhì)上是保護(hù)用戶的利益和隱私 計算機(jī)網(wǎng)絡(luò)安全的含義是通過各種計算機(jī) 網(wǎng)絡(luò) 密碼技術(shù)和信息安全技術(shù) 保護(hù)在公用通信網(wǎng)絡(luò)中傳輸 交換和存儲信息的機(jī)密性 完整性和真實(shí)性 并對信息的傳播及內(nèi)容具有控制能力 網(wǎng)絡(luò)安全的結(jié)構(gòu)層次包括 物理安全 安全控制和安全服務(wù) 可見 計算機(jī)網(wǎng)絡(luò)安全主要是從保護(hù)網(wǎng)絡(luò)用戶的角度來進(jìn)行的 是針對攻擊和破譯等人為因素所造成的對網(wǎng)絡(luò)安全的威脅 而不涉及網(wǎng)絡(luò)可靠性 信息的可控性 可用性和互操作性等領(lǐng)域 8 1 2網(wǎng)絡(luò)安全的特征 網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征 1 保密性是指信息不泄露給非授權(quán)的用戶 實(shí)體或過程 或供其利用的特性 2 完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性 即信息在存儲或傳輸過程中保持不被修改 不被破壞和丟失的特性 3 可用性是指可被授權(quán)實(shí)體訪問并按需求使用的特性 即當(dāng)需要時應(yīng)能存取所需的信息 網(wǎng)絡(luò)環(huán)境下拒絕服務(wù) 破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊 4 可控性是指對信息的傳播及內(nèi)容具有控制能力 8 1 3對網(wǎng)絡(luò)安全的威脅 與網(wǎng)絡(luò)連通性相關(guān)的有三種不同類型的安全威脅 1 非授權(quán)訪問 UnauthorizedAccess 指一個非授權(quán)用戶的入侵 2 信息泄露 DisclosureofInformation 指造成將有價值的和高度機(jī)密的信息暴露給無權(quán)訪問該信息的人的所有問題 3 拒絕服務(wù) DenialofService 指使系統(tǒng)難以或不能繼續(xù)執(zhí)行任務(wù)的所有問題 8 1 4網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 從廣義上講 計算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有 1 主機(jī)安全技術(shù) 2 身份認(rèn)證技術(shù) 3 訪問控制技術(shù) 4 密碼技術(shù) 5 防火墻技術(shù) 6 安全審計技術(shù) 7 安全管理技術(shù) 8 1 5Linux系統(tǒng)的網(wǎng)絡(luò)安全策略 1 簡介 隨著Internet Intranet網(wǎng)絡(luò)的日益普及 采用Linux網(wǎng)絡(luò)操作系統(tǒng)作為服務(wù)器的用戶也越來越多 這一方面是因?yàn)長inux是開放源代碼的免費(fèi)正版軟件 另一方面也是因?yàn)檩^之微軟的WindowsNT網(wǎng)絡(luò)操作系統(tǒng)而言 Linux系統(tǒng)具有更好的穩(wěn)定性 效率性和安全性 在Internet Intranet的大量應(yīng)用中 網(wǎng)絡(luò)本身的安全面臨著重大的挑戰(zhàn) 隨之而來的信息安全問題也日益突出 以美國為例 據(jù)美國聯(lián)邦調(diào)查局 FBI 公布的統(tǒng)計數(shù)據(jù) 美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元 而全球平均每20秒鐘就發(fā)生一起Internet計算機(jī)黑客侵入事件 一般認(rèn)為 計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊和計算機(jī)病毒2個方面 那么黑客攻擊為什么能夠經(jīng)常得逞呢 主要原因是很多人 尤其是很多網(wǎng)絡(luò)管理員沒有起碼的網(wǎng)絡(luò)安全防范意識 沒有針對所用的網(wǎng)絡(luò)操作系統(tǒng) 采取有效的安全策略和安全機(jī)制 給黑客以可乘之機(jī) 由于網(wǎng)絡(luò)操作系統(tǒng)是用于管理計算機(jī)網(wǎng)絡(luò)中的各種軟硬件資源 實(shí)現(xiàn)資源共享 并為整個網(wǎng)絡(luò)中的用戶提供服務(wù) 保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的一種系統(tǒng)軟件 如何確保網(wǎng)絡(luò)操作系統(tǒng)的安全 是網(wǎng)絡(luò)安全的根本所在 只有網(wǎng)絡(luò)操作系統(tǒng)安全可靠 才能保證整個網(wǎng)絡(luò)的安全 因此 詳細(xì)分析Linux系統(tǒng)的安全機(jī)制 找出可能存在的安全隱患 給出相應(yīng)的安全策略和保護(hù)措施是十分必要的 2 Linux網(wǎng)絡(luò)操作系統(tǒng)的基本安全機(jī)制 Linux網(wǎng)絡(luò)操作系統(tǒng)提供了用戶帳號 文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機(jī)制 如果這些安全機(jī)制配置不當(dāng) 就會使系統(tǒng)存在一定的安全隱患 因此 網(wǎng)絡(luò)系統(tǒng)管理員必須小心地設(shè)置這些安全機(jī)制 1 Linux系統(tǒng)的用戶帳號 2 Linux的文件系統(tǒng)權(quán)限 3 合理利用Linux的日志文件 3 Linux網(wǎng)絡(luò)系統(tǒng)可能受到的攻擊和安全防范策略 Linux操作系統(tǒng)是一種公開源碼的操作系統(tǒng) 因此比較容易受到來自底層的攻擊 系統(tǒng)管理員一定要有安全防范意識 對系統(tǒng)采取一定的安全措施 這樣才能提高Linux系統(tǒng)的安全性 對于系統(tǒng)管理員來講特別是要搞清楚對Linux網(wǎng)絡(luò)系統(tǒng)可能的攻擊方法 并采取必要的措施保護(hù)系統(tǒng) 1 Linux網(wǎng)絡(luò)系統(tǒng)可能受到的攻擊類型 拒絕服務(wù) 攻擊 口令破解 攻擊 欺騙用戶 攻擊 掃描程序和網(wǎng)絡(luò)監(jiān)聽 攻擊 2 Linux網(wǎng)絡(luò)安全防范策略仔細(xì)設(shè)置每個內(nèi)部用戶的權(quán)限 確保用戶口令文件 etc shadow的安全 加強(qiáng)對系統(tǒng)運(yùn)行的監(jiān)控和記錄 合理劃分子網(wǎng)和設(shè)置防火墻 定期對Linux網(wǎng)絡(luò)進(jìn)行安全檢查 制定適當(dāng)?shù)臄?shù)據(jù)備份計劃確保系統(tǒng)萬無一失 4 加強(qiáng)對Linux網(wǎng)絡(luò)服務(wù)器的管理 合理使用各種工具 1 利用記錄工具 記錄對Linux系統(tǒng)的訪問 2 慎用Telnet服務(wù) 3 合理設(shè)置NFS服務(wù)和NIS服務(wù) 4 小心配置FTP服務(wù) 5 合理設(shè)置POP 3和Sendmail等電子郵件服務(wù) 6 加強(qiáng)對WWW服務(wù)器的管理 提供安全的WWW服務(wù) 7 最好禁止提供finger服務(wù) 8 1 6Linux網(wǎng)絡(luò)安全工具 1 sudo sudo是系統(tǒng)管理員用來允許某些用戶以root身份運(yùn)行部分 全部系統(tǒng)命令的程序 一個明顯的用途是增強(qiáng)了站點(diǎn)的安全性 如果用戶需要每天以root身份做一些日常工作 經(jīng)常執(zhí)行固定的幾個只有root身份才能執(zhí)行的命令 那么用sudo是非常適合的 下面以Redhat9 0為例 介紹sudo的安裝及設(shè)置過程 一般情況下 Redhat9 0中都已經(jīng)缺省安裝了當(dāng)前較新的版本sudo 1 6 6 3 如果你的系統(tǒng)中沒有安裝 你能從下面的地址中下載forRedhatLinux的rpmpackage ftp ftp rediris es sites alias 節(jié)區(qū) 一個選擇性的指令別名 commandalias 節(jié)區(qū)以及使用者說明 userspecification 節(jié)區(qū)所組成的 所有的指令別名或主機(jī)別名必須需以自己的關(guān)鍵字作為開始 Host Alias Cmnd Alias 使用者說明節(jié)區(qū)格式 使用者接取群組 接取群組 接取群組 主機(jī)象征 op 指令象征 op 指令象征 主機(jī)象征 一個小寫的主機(jī)名稱或主機(jī)別名 指令象征 一個指令或指令別名 op 邏輯的 否定運(yùn)算元 主機(jī)別名節(jié)區(qū)格式 Host Alias主機(jī)別名 主機(jī)列表Host Alias 這是一個關(guān)鍵字 主機(jī)別名 一個大寫的別名 主機(jī)列表 以逗號間隔的一些主機(jī)名稱 指令別名節(jié)區(qū)格式 Cmnd Alias指令別名 指令列表Cmnd Alias 這是一個關(guān)鍵字 指令別名 一個大寫的別名 指令列表 以逗號間隔的一些指令 所有在 符號后面的文字都會被當(dāng)作是注解 太長的行可以使用倒斜線 字符來分成新的行 保留的別名 ALL 在 Host Cmnd Alias 里都可以使用 不要用 ALL 來定義一個別名 這個別名無效 注意到 ALL 暗示全部的主機(jī)和指令 可以使用這個語法從整個范圍中減掉一些項(xiàng)目 userhost ALL ALIAS1 etc halt 2 Sniffit sniffit是一個有名的網(wǎng)絡(luò)端口探測器 可以配置它在后臺運(yùn)行 以檢測哪些TCP IP端口上用戶的輸入 輸出信息 最常用的功能是可以用它來檢測系統(tǒng)的23 telnet 和110 pop3 端口上的數(shù)據(jù)傳送以輕松得到系統(tǒng)的登錄口令和mail帳號密碼 當(dāng)然 sniffit基本上是被破壞者所利用的工具 sniffit的主頁在http reptile rug ac be coder sniffit sniffit html用戶能從那里下載最新的版本 用戶在根目錄運(yùn)行 tarxvfzsniff 解開所有文件到對應(yīng)目錄后 先仔細(xì)閱讀其中的README FIRST文件 可能有些版本需要預(yù)先進(jìn)行編譯才能使用 用戶能運(yùn)行sniffit i以交互式圖形界面查看所有在指定網(wǎng)絡(luò)接口上的輸入 輸出信息 例如 為了得到所有用戶通過某接口a b c d接收郵件時所輸入的pop3帳號和密碼 用戶能運(yùn)行 sniffit p110 ta b c d sniffit p110 sa b c d 記錄文件放在目錄 usr doc sniffit 下面 logfile根據(jù)訪問者的IP地址 隨機(jī)用高端端口號和用來檢測的網(wǎng)絡(luò)接口IP地址和檢測端口來命名 它利用了TCP IP協(xié)議天生的虛弱性 因?yàn)槠胀ǖ膖elnet和pop3所傳的用戶名和密碼信息都是明文 不帶任何方式的加密 因此對telnet ftp 可以用ssh scp來替代 sniffit檢測到的ssh scp信息基本上是一堆亂碼 因此不需要擔(dān)心ssh所傳送的用戶名和口令信息會被第三方所竊取 3 nmap nmap是用來對一個比較大的網(wǎng)絡(luò)進(jìn)行端口掃描的工具 它能檢測該服務(wù)器有哪些TCP IP端口目前正處于打開狀態(tài) 可以運(yùn)行它來確保已經(jīng)禁止掉不該打開的不安全的端口號 nmap的主頁在http www insecure org nmap index html 8 2防火墻技術(shù) 8 2 1什么是防火墻 防火墻是指設(shè)置在不同網(wǎng)絡(luò) 如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 能根據(jù)企業(yè)的安全政策控制 允許 拒絕 監(jiān)測 出入網(wǎng)絡(luò)的信息流 且本身具有較強(qiáng)的抗攻擊能力 防火墻是提供信息安全服務(wù) 實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施 在邏輯上 防火墻是一個分離器 一個限制器 也是一個分析器 有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動 保證了內(nèi)部網(wǎng)絡(luò)的安全 如圖8 1 圖8 1防火墻邏輯位置示意圖 使用防火墻地作用如下 1 防火墻是網(wǎng)絡(luò)安全的屏障 2 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略 3 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計 4 防止內(nèi)部信息的外泄 8 2 2防火墻的三種類型 1 數(shù)據(jù)包過濾型防火墻 數(shù)據(jù)包過濾 PacketFiltering 技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇 選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯 被稱為訪問控制表 AccessControlTable 通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址 目的地址 所用的端口號 協(xié)議狀態(tài)等因素 或它們的組合來確定是否允許該數(shù)據(jù)包通過 數(shù)據(jù)包過濾防火墻邏輯簡單 價格便宜 易于安裝和使用 網(wǎng)絡(luò)性能和透明性好 通常安裝在路由器上 路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備 因此 在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用 數(shù)據(jù)包過濾防火墻有兩個主要缺點(diǎn) 一是非法訪問一旦突破防火墻 即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊 二是數(shù)據(jù)包的源地址 目的地址以及IP的端口號都在數(shù)據(jù)包的頭部 很有可能被竊聽或假冒 2 應(yīng)用級網(wǎng)關(guān)型防火墻 應(yīng)用級網(wǎng)關(guān) ApplicationLevelGateways 是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能 它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯 并在過濾的同時 對數(shù)據(jù)包進(jìn)行必要的分析 登記和統(tǒng)計 形成報告 應(yīng)用級網(wǎng)關(guān)型防火墻的工作流程示意圖請見圖8 2 圖8 2應(yīng)用級網(wǎng)關(guān)型防火墻的工作流程 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點(diǎn) 就是僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過 一旦滿足邏輯 則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài) 這有利于實(shí)施非法訪問和攻擊 3 代理服務(wù)型防火墻 代理服務(wù) ProxyService 也稱鏈路級網(wǎng)關(guān)或TCP通道 CircuitLevelGatewaysorTCPTunnels 也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類 代理服務(wù)是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù) 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段 防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的 鏈接 由兩個終止代理服務(wù)器上的 鏈接 來實(shí)現(xiàn) 外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器 從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用 此外 代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析 注冊登記 形成報告 同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報 并保留攻擊痕跡 使用代理服務(wù)型防火墻的網(wǎng)絡(luò)結(jié)構(gòu)示意圖請見圖8 3 圖8 3代理服務(wù)型防火墻的網(wǎng)絡(luò)結(jié)構(gòu) 8 2 3防火墻體系結(jié)構(gòu) 1 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑 雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口 這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器 能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包 然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送 因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò) 如外部網(wǎng)絡(luò) 直接發(fā)送到另一個網(wǎng)絡(luò) 如內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信 內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信 但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信 它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制 如圖8 4 圖8 4雙重宿主主機(jī)體系結(jié)構(gòu) 2 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器 而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開 如圖8 5 在這種體系結(jié)構(gòu)中 主要的安全由數(shù)據(jù)包過濾提供 例如 數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連 圖8 5被屏蔽主機(jī)體系結(jié)構(gòu) 這種體系結(jié)構(gòu)涉及到堡壘主機(jī) 堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一內(nèi)部網(wǎng)絡(luò)上的主機(jī) 任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī) 因此堡壘主機(jī)要保持更高等級的主機(jī)安全 3 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu) 即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) 通常是Internet 隔離開 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為 兩個屏蔽路由器 每一個都連接到周邊網(wǎng) 一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間 另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò) 通常為Internet 之間 這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個 隔離帶 為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò) 侵襲者必須通過兩個路由器 即使侵襲者侵入堡壘主機(jī) 他將仍然必須通過內(nèi)部路由器 如圖8 6 圖8 6被屏蔽子網(wǎng)體系結(jié)構(gòu) 8 2 4包過濾技術(shù) 包過濾 PacketFilter 技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過 根據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯 檢查數(shù)據(jù)流中每個數(shù)據(jù)包后 根據(jù)數(shù)據(jù)包的源地址 目的地址 TCP UDP源端口號 TCP UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過 其核心是安全策略即過濾算法的設(shè)計 例如 用于特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號的事實(shí) 如TCP端口23用于Telnet連接 使包過濾器可以通過簡單的規(guī)定適當(dāng)?shù)亩丝谔杹磉_(dá)到阻止或允許一定類型的連接的目的 并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則 包過濾技術(shù)作為防火墻的應(yīng)用有三類 一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外 同時進(jìn)行包過濾 這是目前較常用的方式 二是在工作站上使用軟件進(jìn)行包過濾 這種方式價格較貴 三是在一種稱為屏蔽路由器的路由設(shè)備上啟動包過濾功能 8 3使用Linux架構(gòu)包過濾防火墻 8 3 1包過濾型防火墻的一般概念 1 什么是包過濾 包過濾就是用一個軟件查看所流經(jīng)的數(shù)據(jù)包的包頭 header 由此決定整個數(shù)據(jù)包是否允許通過 它可能會決定丟棄 DROP 這個包 可能會接受 ACCEPT 這個包 讓這個包通過 也可能執(zhí)行其他更復(fù)雜的動作 在Linux系統(tǒng)下 包過濾功能是內(nèi)建于核心的 作為一個核心模塊 或者直接內(nèi)建 同時還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧 不過最常用的依然是查看包頭以決定是否允許通過 2 包過濾防火墻的工作層次 包過濾防火墻示意圖如圖8 7所示 包過濾是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型 其防火墻工作在網(wǎng)絡(luò)層 圖8 7包過濾防火墻示意圖 3 包過濾防火墻的工作原理 1 使用過濾器 數(shù)據(jù)包過濾用在內(nèi)部主機(jī)和外部主機(jī)之間 過濾系統(tǒng)是一臺路由器或是一臺主機(jī) 過濾系統(tǒng)根據(jù)過濾規(guī)則來決定是否讓數(shù)據(jù)包通過 如圖8 8所示 用于過濾數(shù)據(jù)包的路由器被稱為過濾路由器 圖8 8用過濾路由器過濾數(shù)據(jù)包 數(shù)據(jù)包過濾是通過對數(shù)據(jù)包的IP頭和TCP或UDP頭的檢查來實(shí)現(xiàn)的 主要信息有 IP源地址IP目的地址協(xié)議 TCP包 UDP包和ICMP包 TCP或UDP包的源端口TCP或UDP包的目的端口ICMP消息類型 TCP包頭中的ACK位數(shù)據(jù)包到達(dá)的端口數(shù)據(jù)包送出的端口 2 過濾器的實(shí)現(xiàn) 數(shù)據(jù)包過濾一般使用過濾路由器來實(shí)現(xiàn) 這種路由器與普通的路由器有所不同 普通的路由器只檢查數(shù)據(jù)包的目的地址 并選擇一個達(dá)到目的地址的最佳路徑 它處理數(shù)據(jù)包是以目的地址為基礎(chǔ)的 存在著兩種可能性 若路由器可以找到一條路徑到達(dá)目的地址則發(fā)送出去 若路由器不知道如何發(fā)送數(shù)據(jù)包則發(fā)送一個 數(shù)據(jù)不可達(dá) 的數(shù)據(jù)包給發(fā)送者 過濾路由器會進(jìn)一步地檢查數(shù)據(jù)包 除了決定是否有到達(dá)目的地址的路徑外 還要決定是否應(yīng)該發(fā)送數(shù)據(jù)包 應(yīng)該與否 是由路由器的過濾策略決定并強(qiáng)行執(zhí)行的 路由器的過濾策略主要有 拒絕來自某主機(jī)或某網(wǎng)段的所有連接 允許來自某主機(jī)或某網(wǎng)段的所有連接 拒絕來自某主機(jī)或某網(wǎng)段的指定端口的連接 允許來自某主機(jī)或某網(wǎng)段的指定端口的連接 拒絕本地主機(jī)或本地網(wǎng)絡(luò)與其他主機(jī)或其他網(wǎng)絡(luò)的所有連接 允許本地主機(jī)或本地網(wǎng)絡(luò)與其他主機(jī)或其他網(wǎng)絡(luò)的所有連接 拒絕本地主機(jī)或本地網(wǎng)絡(luò)與其他主機(jī)或其他網(wǎng)絡(luò)的指定端口的連接 允許本地主機(jī)或本地網(wǎng)絡(luò)與其他主機(jī)或其他網(wǎng)絡(luò)的指定端口的連接 4 包過濾器操作的基本過程 下面給出包過濾器的操作流程圖 如圖8 9所示 圖8 9包過濾操作流程圖 8 3 2Netfilter iptables簡介 1 Linux下的包過濾防火墻管理工具 從1 1內(nèi)核開始 Linux就已經(jīng)具有包過濾功能了 隨著Linux內(nèi)核版本的不斷升級Linux下的包過濾系統(tǒng)經(jīng)歷了如下3個階段 在2 0的內(nèi)核中 采用ipfwadm來操作內(nèi)核包過濾規(guī)則 在2 2的內(nèi)核中 采用ipchains來控制內(nèi)核包過濾規(guī)則 在2 4的內(nèi)核中 采用一個全新的內(nèi)核包過濾管理工具 iptables 現(xiàn)在最新Linux內(nèi)核版本是2 4 1 在2 4內(nèi)核中不再使用ipchains 而是采用一個全新的內(nèi)核包過濾管理工具 iptables 這個全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理 更容易被使用 當(dāng)然也將具有更為強(qiáng)大的功能 iptables作為一個管理內(nèi)核包過濾的工具 iptables可以加入 插入或刪除核心包過濾表格 鏈 中的規(guī)則 實(shí)際上真正來執(zhí)行這些過濾規(guī)則的是Netfilter Linux核心中一個通用架構(gòu) 及其相關(guān)模塊 如iptables模塊和nat模塊等 2 Netfilter的工作原理 Netfilter是Linux核心中的一個通用架構(gòu) 它提供了一系列的 表 tables 每個表由若干 鏈 chains 組成 而每條鏈中可以有一條或數(shù)條規(guī)則 rule 組成 因此 可以理解netfilter是表的容器 表是鏈的容器 而鏈又是規(guī)則的容器 如圖8 10所示 圖8 10Netfilter總體結(jié)構(gòu) 系統(tǒng)缺省的表為 filter 該表中包含了INPUT FORWARD和OUTPUT3個鏈 每一條鏈中可以有一條或數(shù)條規(guī)則 每一條規(guī)則都是這樣定義的 如果數(shù)據(jù)包頭符合這樣的條件 就這樣處理這個數(shù)據(jù)包 當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈時 系統(tǒng)就會從第一條規(guī)則開始檢查 看是否符合該規(guī)則所定義的條件 如果滿足 系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包 如果不滿足則繼續(xù)檢查下一條規(guī)則 最后 如果該數(shù)據(jù)包不符合該鏈中所有規(guī)則的話 系統(tǒng)就會根據(jù)該鏈預(yù)先定義的策略 policy 來處理該數(shù)據(jù)包 數(shù)據(jù)包在filter表中的流程如圖8 11所示 有數(shù)據(jù)包進(jìn)入系統(tǒng)時 系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈 則可能有三種情況 圖8 11數(shù)據(jù)包在Filter表中的流程圖 1 如果數(shù)據(jù)包的目的地址是本機(jī) 則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈 如果通過規(guī)則檢查 則該包被發(fā)給相應(yīng)的本地進(jìn)程處理 如果沒通過規(guī)則檢查 系統(tǒng)就會將這個包丟棄 2 如果數(shù)據(jù)包的目的地址不是本機(jī) 也就是說 這個包將被轉(zhuǎn)發(fā) 則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈 如果通過規(guī)則檢查 則該包被發(fā)給相應(yīng)的本地進(jìn)程處理 如果沒通過規(guī)則檢查 系統(tǒng)就會將這個包丟掉 3 如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的 則系統(tǒng)將其送往OUTPUT鏈 如果通過規(guī)則檢查 則該包被發(fā)給相應(yīng)的本地進(jìn)程處理 如果沒通過規(guī)則檢查 系統(tǒng)就會將這個包丟掉 RedHatlinux9使用2 4版本地內(nèi)核 并且內(nèi)核的編譯選項(xiàng)中包含對Netfilter地支持 同時iptables軟件包是默認(rèn)安裝的 所以可以直接使用 另外 為了完成轉(zhuǎn)發(fā)功能 必須打開系統(tǒng)內(nèi)核的IP轉(zhuǎn)發(fā)功能 使Linux變成路由器 在RedHat中有兩種方法 1 修改內(nèi)核變量ip forward echo 1 proc sys net ipv4 ip forward 2 修改腳本 etc sysconfig network 將FORWARD IPV4 false改為FORWARD IPV4 true 3 iptables語法 iptables的語法通?？梢院喕癁橄旅娴男问?iptables ttable CMD chain rule matcher jtarget iptables工具的調(diào)用語法如下 1 對鏈的操作 2 對規(guī)則的操作 3 指定源地址和目的地址 4 指定協(xié)議 5 指定網(wǎng)絡(luò)接口 6 指定IP碎片 7 指定非 8 TCP匹配擴(kuò)展 9 mac匹配擴(kuò)展 10 limit匹配擴(kuò)展 11 LOG目標(biāo)擴(kuò)展 12 REJECT目標(biāo)擴(kuò)展 4 iptables與ipchains的區(qū)別 iptables的缺省鏈的名稱從小寫換成大寫 并且意義不再相同 INPUT和OUTPUT分別放置對目的地址是本機(jī)以及本機(jī)發(fā)出的數(shù)據(jù)包的過濾規(guī)則 i選項(xiàng)現(xiàn)在只代表輸入網(wǎng)絡(luò)接口 輸入網(wǎng)絡(luò)接口則使用 o選項(xiàng) TCP和UDP端口現(xiàn)在需要用 source port或 sport 或 destination port dport 選項(xiàng)拼寫出來并且必須置于 ptcp 或 pudp 選項(xiàng)之后 因?yàn)榉謩e是載入TCP和UDP擴(kuò)展的 以前TCP的 y 標(biāo)志現(xiàn)在改為 syn 并且必須置于 ptcp 之后 原來的DENY目標(biāo)最后改為了DROP 可以在列表顯示單個鏈的同時將其清空 可以在清空內(nèi)建鏈的同時將策略計數(shù)器清零 列表顯示鏈時可顯示計數(shù)器的當(dāng)前瞬時值 REJECT和LOG現(xiàn)在變成了擴(kuò)展目標(biāo) 即意味著成為獨(dú)立的內(nèi)核模塊 鏈名可以長達(dá)31個字符 MASQ現(xiàn)在改為MASQUERADE 并且使用不同的語法 REDIRECT保留原名稱 但也改變了所使用的語法 8 3 3包過濾防火墻配置實(shí)例 1 網(wǎng)絡(luò)結(jié)構(gòu) 本節(jié)要為如圖8 12所示的網(wǎng)絡(luò)結(jié)構(gòu)建立一個包過濾防火墻 這個網(wǎng)絡(luò)結(jié)構(gòu)假設(shè)內(nèi)部網(wǎng)有有效的Internet地址 為了將內(nèi)部網(wǎng)段192 168 80 0 24與Internet隔離 在內(nèi)部網(wǎng)絡(luò)和Internet之間使用了包過濾防火墻 防火墻的內(nèi)網(wǎng)接口是eth1 198 168 80 254 防火墻的Internet接口是eth0 198 199 37 254 另外 內(nèi)網(wǎng)中有3臺服務(wù)器對外提供服務(wù) 圖8 12包過濾防火墻結(jié)構(gòu)圖 WWW服務(wù)器 IP地址為198 168 80 251FTP服務(wù)器 IP地址為198 168 80 252E mail服務(wù)器 IP地址為198 168 80 253 2 防火墻的建立過程 本例主要是對內(nèi)部的各種服務(wù)器提供保護(hù) 下面采用編輯并執(zhí)行可執(zhí)行腳本的方法建立此防火墻 具體過程如下 1 在 etc rc d 目錄下用touch命令建立空的腳本文件 執(zhí)行chmod命令添加可執(zhí)行權(quán)限 touch etc rc d filter firewall chmodu x etc rc d filter firewall 2 編輯 etc rc d rc local文件 在末尾加上 etc rc d filter firewall以確保開機(jī)時能自動執(zhí)行該腳本 echo etc rc d filter firewall etc rc d rc local 3 使用文本編輯器編輯 etc rc d filter firewall文件 插入如下內(nèi)容 bin bash 在屏幕上顯示信息echo Startingiptablesrules 開啟內(nèi)核轉(zhuǎn)發(fā)功能echo 1 proc sys net ipv4 ip forward 定義變量IPT sbin iptablesWWW SERVER 198 168 80 251FTP SERVER 198 168 80 252EMAIL SERVER 198 168 80 253IP RANGE 198 168 80 0 24 刷新所有的鏈的規(guī)則 IPT F 首先禁止轉(zhuǎn)發(fā)任何包 然后再一步步設(shè)置允許通過的包 所以首先設(shè)置防火墻FORWARD鏈的策略為DROP IPT PFORWARDDROP 下面設(shè)置關(guān)于服務(wù)器的包過濾規(guī)則 由于服務(wù)器 客戶機(jī)交互是雙向的 所以不僅僅要設(shè)置數(shù)據(jù)包 出去的規(guī)則 還要設(shè)置數(shù)據(jù)包返回的規(guī)則 1 下面建立針對來自Internet數(shù)據(jù)包的過濾規(guī)則 1 WWW服務(wù) 服務(wù)端口為80 采用tcp或utp協(xié)議 規(guī)則為 eth0 允許目的為內(nèi)部網(wǎng)WWW服務(wù)器的包 IPT AFORWORD ptcp d WWW SERVER dportwww ieth0 jACCEPT 2 FTP服務(wù) 服務(wù)端口為 命令端口21 數(shù)據(jù)端口20 FTP服務(wù)采用tcp協(xié)議 規(guī)則為 eth0 允許目的為內(nèi)部網(wǎng)FTP服務(wù)器的包 IPT AF