概述
在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著。它们和Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问题。要使系统安全高效地运行,安装人员和管理人员必须能够理解该软件产品的运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。
防火墙的基本模型
基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型:即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火墙。它们涉及的技术有应用代理技术和包过滤技术等。
应用代理网关允许内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用户与目的地进行连接。由于应用代理网关在应用层进行代理,所以它可以对应用协议进行控制,而且还可以在应用级进行记录。它比网络级防火墙的安全措施更加严格,因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数。然而,采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要求应用代理进程为其提供应用服务,所以速度较慢,并且不如网络层防火墙那样透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。
电路级网关与应用代理网关类似,但进行的代理通常与应用无关。这样就失去了详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备,它只支持TCP/IP应用,使用TCP端口实现网络资源和用户应用程序之间的通信。它还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现这类防火墙模型的软件。
网络层的IP包过滤防火墙在IP包水平上工作。它根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全,但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络,但不能记录谁访问了公开的系统,以及谁从内部网络访问Internet。在Linux内核中支持IP包过滤,所以不需要增加其他软件就可以构建包过滤防火墙,Ipchains软件包是Linux平台上一个功能强大的包过滤策略管理软件,用于设置可靠的防火墙系统。
Ipchains及IP伪装原理
在Linux系统上,支持包过滤的核心中有三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发链。当一个包从Internet进入配置了防火墙的Linux主机,内核使用输入链决定该包的取舍。如果该包没有被丢弃,则内核继而调用转发链决定是否将包发送到某个出口,最后包要被发出前,内核通过输出链来做决定。
一个链是一系列规则的列表。每个规则规定:如果包的包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入链中的下一条规则。最后,如果没有要引入的规则,内核根据内置策略决定如何做。在一个有安全意识的系统中,该规则通常告诉内核将包拒绝或丢弃。
通过适当配置IP过滤规则,即三条链的过滤策略,该防火墙可以控制输入的包来自信任的IP网段,也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外,我们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执行,完成后再回到主链,这使过滤规则可以相当灵活。
在防火墙链中有一些特殊的跳转目标值如下表所示:
在防火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案,它同时解决了Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具有IP伪装功能,那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接的,尽管它们没有正式的IP地址,都可与Internet连接。这意味着可将一系列主机藏在一个网关系统之后来访问Internet,它们的访问在外界看来是不可见的。
由于要伪装的主机没有正式的IP地址,可以使用IANA(Internet Assigned Numbers Authority)保留的私有网络地址,即:
10.0.0.0~10.255.255.255????1个A类地址
172.16.0.0~172.31.255.255???16个连续B类地址
192.168.0.0~192.168.255.255??255个连续C类地址
在防火墙的转发链配置了IP伪装后,当内部网络上的主机向Internet发出访问的IP包时,内核将包中的源IP地址换成网关的IP地址,并记录被伪装的IP地址,然后转发这个包。当这个包的应答IP包从Internet进入网关时,内核会进行去IP伪装的操作,将目的地址替换成内部地址。IP伪装规则只能配置于转发链,通过适当配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口进行IP伪装。IP伪装对外部屏蔽了内部网络的细节,外部甚至不知到内部网络的存在,因此安全性更好。
网友评论