Linux防火墻及其配置

LINUX防火墻及其配置許永全15610093內(nèi)容防火墻概述Iptables防火墻的安裝和配置防火墻概述在計(jì)算機(jī)網(wǎng)絡(luò)中，防火墻是一種裝置，它是由軟件或硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限。它實(shí)際上是一種隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制策略，它能允許“可以訪問”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將“不允許訪問”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問網(wǎng)絡(luò)。如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。防火墻的功能防火墻由于處于網(wǎng)絡(luò)邊界的特殊位置，因而被設(shè)計(jì)集成了非常多的安全防護(hù)功能和網(wǎng)絡(luò)連接管理功能。1．防火墻的訪問控制功能2．防火墻的防止外部攻擊3．防火墻的地址轉(zhuǎn)換4．防火墻的日志與報(bào)警5．防火墻的身份認(rèn)證防火墻技術(shù)按照實(shí)現(xiàn)技術(shù)分類防火墻的基本類型有：包過濾型；代理服務(wù)型；狀態(tài)檢測(cè)型。防火墻的包過濾技術(shù)包過濾（PacketFilter）通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。防火墻的應(yīng)用代理技術(shù)代理服務(wù)（ProxyService）系統(tǒng)一般安裝并運(yùn)行在雙宿主機(jī)上。雙宿主機(jī)是一個(gè)被取消路由功能的主機(jī)，與雙宿主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)洹＿@與包過濾防火墻明顯不同，就邏輯拓?fù)涠?，代理服?wù)型防火墻要比包過濾型更安全。防火墻的狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層由一個(gè)檢測(cè)模塊截獲數(shù)據(jù)包，并抽取與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對(duì)該連接是接受還是拒絕。檢測(cè)模塊維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表，并對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化，該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時(shí)也具有較好的適應(yīng)性和可擴(kuò)展性。狀態(tài)檢測(cè)防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性。狀態(tài)檢測(cè)檢查OSI七層模型的所有層，以決定是否過濾，而不僅僅對(duì)網(wǎng)絡(luò)層檢測(cè)，狀態(tài)檢測(cè)型防火墻如圖所示。狀態(tài)檢測(cè)技術(shù)首先由CheckPoint公司提出并實(shí)現(xiàn)。目前許多包過濾防火墻中都使用多層狀態(tài)檢測(cè)。IPTABLES簡(jiǎn)介Netfilter/iptables（以下簡(jiǎn)稱為iptables）組成Linux平臺(tái)下的包過濾防火墻，與大多數(shù)Linux下的軟件一樣，這個(gè)包過濾防火墻是免費(fèi)的，它可以替代昂貴的商業(yè)級(jí)防火墻，完成數(shù)據(jù)包過濾、數(shù)據(jù)包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等功能。IPTABLES簡(jiǎn)介（續(xù)）iptables/netfilter包過濾防火墻其實(shí)由兩個(gè)組件構(gòu)成，一個(gè)是netfilter、一個(gè)是iptables。iptables只是一個(gè)管理內(nèi)核包過濾的根據(jù)，它可以加入、插入或刪除核心包過濾表格（鏈）中的規(guī)則，這些規(guī)則告訴內(nèi)核中的netfilter組件如何去處理信息包。也就是說，實(shí)際上真正執(zhí)行這些過濾規(guī)則的是netfilter及相關(guān)模塊（如iptables模塊和nat模塊）。netfilter是Linux內(nèi)核中的一個(gè)通用架構(gòu)，它提供了一系列的表（tables），每個(gè)表由若干個(gè)鏈（chains）組成，而每個(gè)鏈可以由一條或若干條規(guī)則（rule）組成。可以這樣理解，netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。IPTABLES簡(jiǎn)介（續(xù)）系統(tǒng)缺省的表為“filter”，該表中包含了INPUT、FORWARD、OUTPUT等3個(gè)鏈。每一個(gè)鏈中有一條或數(shù)條規(guī)則，每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，系統(tǒng)就會(huì)從第一條規(guī)則開始檢查，看是否符合該規(guī)則所定義的條件：如果滿足，系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；如果不滿足則繼續(xù)檢查下一條規(guī)則。最后，如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則，系統(tǒng)就會(huì)根據(jù)該鏈預(yù)先定義的策略（policy）來處理該數(shù)據(jù)包。IPTABLES的規(guī)則、鏈和表在使用iptables之前，必須先理解規(guī)則、鏈和表的概念。下面就開始分別介紹這3個(gè)概念。IPTABLES的規(guī)則（RULES）規(guī)則就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般定義為“如果數(shù)據(jù)包符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過濾表中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議（TCP、UDP和ICMP）和服務(wù)類型（如HTTP、FTP和DNS）。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，iptables就會(huì)根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包，如允許通過（ACCEPT）、拒絕（REJECT）和丟棄（DROP）等。配置防火墻主要就是添加、修改和刪除這些規(guī)則。IPTABLES的鏈（CHAINS）鏈（chains）是數(shù)據(jù)包傳播的路徑，每一個(gè)鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一個(gè)鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，iptables就會(huì)從鏈中的第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包，否則iptables將繼續(xù)檢查下一條規(guī)則。如果該數(shù)據(jù)包不符合鏈中任一套規(guī)則，iptables就會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略來處理數(shù)據(jù)包。IPTABLES的表（TABLES）表（tables）提供特定的功能，iptables內(nèi)置3個(gè)表，即filter表、nat表和managle表，分別用于實(shí)現(xiàn)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）和包重構(gòu)的功能。filter表。nat表managle表IPTABLES傳輸數(shù)據(jù)包的過程iptables對(duì)數(shù)據(jù)包的傳輸有特定的處理過程。如圖所示。IPTABLES傳輸數(shù)據(jù)包的過程（續(xù)）當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入網(wǎng)卡時(shí)，它首先進(jìn)入PREROUTING鏈，系統(tǒng)根據(jù)數(shù)據(jù)包的目的地址判斷是否需要轉(zhuǎn)發(fā)出去?？赡苡幸韵?種情況：如果數(shù)據(jù)包的目的地址是本機(jī)，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈，如果通過規(guī)則檢查，則將該數(shù)據(jù)包發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟棄。如果數(shù)據(jù)包的目的地址不是本機(jī)，也就是說，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈，如果通過規(guī)則檢查，則該數(shù)據(jù)包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)數(shù)據(jù)包丟棄。如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其發(fā)送到OUTPUT鏈，如果通過規(guī)則檢查，則該數(shù)據(jù)包被發(fā)給相應(yīng)的本地進(jìn)程處理；如果沒有通過規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟棄。防火墻的關(guān)閉由于系統(tǒng)的防火墻功能也是使用iptables實(shí)現(xiàn)的，因此系統(tǒng)會(huì)根據(jù)用戶的設(shè)置在iptables添加相應(yīng)的規(guī)則，這些規(guī)則可能會(huì)與本章后面的配置的規(guī)則相沖突。因此，在配置iptables防火墻之前，建議先關(guān)閉系統(tǒng)的防火墻功能。

[root@localhosthome]#setupfirewallIptables的配置IPTABLES的命令格式iptables的命令格式較為復(fù)雜，一般的格式如下：iptables[-t表]-命令

匹配

操作需要注意的是，iptables對(duì)所有的選項(xiàng)和參數(shù)都區(qū)分大小寫，例如大寫字母的-P參數(shù)和小寫字母的-p參數(shù)代表著不同的意思。表選項(xiàng)表選項(xiàng)用于指定命令應(yīng)用到哪個(gè)iptables內(nèi)置表。iptables的內(nèi)置表包括filter表、nat表和managle表。IPTABLES的命令選項(xiàng)命令選項(xiàng)用于指定iptables的執(zhí)行方式，包括插入規(guī)則、刪除規(guī)則和添加規(guī)則等。下表15-1為iptables的命令選項(xiàng)命令說明-P或--policy<鏈名>定義默認(rèn)策略-L或--list<鏈名>查看iptables規(guī)則列表-A或--append<鏈名>在規(guī)則列表的最后增加1條規(guī)則-I或--insert<鏈名>在指定的位置插入1條規(guī)則-D或--delete<鏈名>在規(guī)則列表中刪除1條規(guī)則-R或--replace<鏈名>替換規(guī)則列表中的某條規(guī)則-F或--flush<鏈名>刪除表中的所有規(guī)則-Z或--zero<鏈名>將表中所有鏈的計(jì)數(shù)和流量計(jì)算器都清零IPTABLES的匹配選項(xiàng)匹配選項(xiàng)指定數(shù)據(jù)包與規(guī)則匹配所應(yīng)具有的特征，包括源地址、目的地址、傳輸協(xié)議（如TCP、UDP、ICMP）和端口號(hào)（如80、21、25）等，如表15-2所示。下表15-2為iptables的匹配選項(xiàng)匹配說明-i或--in--interface<網(wǎng)絡(luò)接口名>指定數(shù)據(jù)包是從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入，如ppp0，eth0和eth1等-o或--out--interface<網(wǎng)絡(luò)接口名>指定數(shù)據(jù)包是從哪個(gè)網(wǎng)絡(luò)接口輸出，如ppp0，eth0和eth1等-p或—proto<協(xié)議類型>指定數(shù)據(jù)包匹配的協(xié)議，如TCP、UDP和ICMP等-s或--source<源地址或子網(wǎng)>指定數(shù)據(jù)包匹配的源地址-sport<源端口號(hào)>指定數(shù)據(jù)包匹配的源端口號(hào)，可以使用“起始端口號(hào)：結(jié)束端口號(hào)”的格式指定一個(gè)端口的范圍-d或--destination<目標(biāo)地址與子網(wǎng)>指定數(shù)據(jù)包匹配的目標(biāo)地址-dport<目標(biāo)端口號(hào)>指定數(shù)據(jù)包匹配的目標(biāo)端口號(hào)，可以使用“起始端口號(hào)：結(jié)束端口號(hào)”的格式指定一個(gè)端口的范圍IPTABLES的動(dòng)作選項(xiàng)動(dòng)作選項(xiàng)指定當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，應(yīng)該做什么操作，如接受或丟棄等，如表15-3所示。下表15-3為iptables的動(dòng)作選項(xiàng)動(dòng)作說明ACCEPT接受數(shù)據(jù)包DROP丟棄數(shù)據(jù)包REDIRECT將數(shù)據(jù)包重新轉(zhuǎn)向本機(jī)或另一臺(tái)主機(jī)的某個(gè)端口，通常用功能實(shí)現(xiàn)透明代理或?qū)ν忾_放內(nèi)網(wǎng)的某些服務(wù)SNAT源地址轉(zhuǎn)換，即改變數(shù)據(jù)包的源地址DNAT目標(biāo)地址轉(zhuǎn)換，即改變數(shù)據(jù)包的目標(biāo)地址MASQUERADEIP偽裝，即常說的NAT技術(shù)。MASQUERADE只能用于SDSL等撥號(hào)上網(wǎng)的IP偽裝，也就是主機(jī)的IP地址是由ISP動(dòng)態(tài)分配的；如果主機(jī)的IP地址是靜態(tài)固定的，就要使用SNATLOG日志功能，將符合規(guī)則的數(shù)據(jù)包的相關(guān)信息記錄在日志中，以便管理員進(jìn)行分析和排錯(cuò)查看IPTABLES規(guī)則在初始狀態(tài)，iptables并沒有規(guī)則，但是如果在安裝時(shí)選擇自動(dòng)安裝防火墻，這時(shí)系統(tǒng)中就會(huì)有默認(rèn)的規(guī)則存在，那