实现Linux网络防火墙

network

实现Linux网络防火墙


防火墙作为一种网络或系统之间强制实行访问控制的机制，是确保网络安全的重要手段。针对不同的需求和应用环境，可以量身定制出不同的防火墙系统。防火墙大到可由若干路由器和堡垒主机构成，也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能。

在众多网络防火墙产品中，Linux操作系统上的防火墙软件特点显著。首先是Linux操作系统作为一个类Unix网络操作系统，在系统的稳定性、健壮性及价格的低廉性方面都独具优势。更为重要的是，Linux不但本身的源代码完全开放，而且系统包含了建立Internet网络环境所需要的所有服务软件包，如Apache Web服务器、DNS服务器、Mail服务器、Database服务器等。同样，基于Linux的防火墙软件不但具有强大的功能，而且大部分都是开放软件。

随着Internet的飞速发展，安全问题越来越重要。利用Linux构建企业网深受中小企业的青睐，而利用Linux构建企业网的防火墙系统也成为众多中小企业的理想选择。

Linux内核从1.1版本开始，就已经具备包过滤功能。在2.0内核中，开始采用Ipfwadm来操作内核的包过滤规则。到2.2版本时，Linux内核采用了Ipchains来控制内核的包过滤规则。发展到2.4.x时，Ipchains被一个全新的包过滤管理工具Iptables所替代。新发布的2.6版内核也在安全方面进行了改进。因此，无论拥有哪个版本的Linux内核，无论选择哪个版本的Linux来构建自己的企业网，都可以利用现有的系统构建出一个理想实用的防火墙。

防火墙系统可分为包过滤型、应用级网关（也叫代理服务器型防火墙）和电路级网关三种基本类型。Linux提供的防火墙软件包内置于Linux内核中，是一种基于包过滤型的防火墙实现技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包类型等信息来控制包的流向。更彻底的过滤则是检查包中的源端口、目的端口以及连接状态等信息。

本文主要介绍Linux提供的IPFW、Ipchains、Iptables这三种非常实用的防火墙和具体实现。

IPFW防火墙

IPFW是比较老的Linux内核版本提供的防火墙软件包。该软件包的全称是Ipfwadm。Ipfwadm程序包提供了建立规则的能力，根据这些规则来确定允许什么样的包进出本网络。简单说来，防火墙就是一对开关，一个开关允许包通过，另一个开关禁止包通过。现代防火墙系统一般都会附加审计跟踪、加密认证、地址伪装和VPN等多种功能。作为一个安全开关，防火墙可定义的安全策略有两个：
（1）一切未被允许的都被禁止；
（2）一切未被禁止的都被允许。

显然，策略1的安全性明显高于策略2，但它是以牺牲灵活性和可访问资源为代价来提高安全性的。Ipfwadm系统同样提供IP封装，它允许用户使用Internet上的一个公共IP地址空间。

下面以Red Hat系统为例，说明Linux系统上IPFW防火墙的实现。

在Red Hat系统上（在其它系统上一样）安装Ipfwadm防火墙，需要以root用户登录，然后执行如下命令：
#rpm -ivh /mnt/cdrom/RedHat/RPMS/ Ipfwadm-2.3.0-5.i386.rpm

在安装好Ipfwadm后，就可以交互方式指定Ipfwadm的包过滤规则。过滤规则对每一个进入系统的IP包进行检查，从而决定哪些包允许通过防火墙，哪些包则禁止通过。Ipfwadm命令的一般格式为：
/sbin/ ipfwadm category commands parameters [options]

Ipchains（IP链）和IP伪装

在更新版本的Linux内核中，Ipchains替代Ipfwadm，提供了更为严格的包过滤控制机制。Ipchains提供完整的防火墙功能，包括包过滤、地址伪装、透明代理。

Linux 2.2内核中提供的Ipchains，通过四类防火墙规则列表来提供防火墙规则控制，这些列表称为防火墙链。它们分别是IP input链（IP输入链）、IP output链（IP输出链）、IP forward链（IP转发链）和user defined链（用户定义链）。一个链实际上就是一个规则表。所谓规则，即当被检测的包头符合规则的定义时，就按预先的设定对该包进行某种处理。输入链是指对内连接请求的过滤规则；输出链是对外连接请求的过滤规则；转发链是对内部与外部通信包转发的过滤规则；用户定义链是用户自己定义的规则。

当一个数据包进入Linux防火墙系统时，Linux内核使用输入链决定对这个包的操作；如果这个包不被丢弃，内核则使用转发链来决定是否将这个包转发到某个出口；当这个包到达一个出口被发出前，内核使用输出链最后确定是丢弃该包还是转发该包。在上面的过程中，如果输入链已经决定处理这个包，则核心需要决定下一步包应该发到什么地方，即进行路由。假如此时该数据包是发到另一台主机的，则核心就运用转发链；如果没找到匹配的设置，则这个包就需要进入目标值指定的下一条链，此时目标值有可能是一条用户自定义链，也有可能是一个特定的值。例如：
ACCEPT 允许通过。
DENY 直接丢弃。
REJECT 丢弃并通过ICMP回复通知发送者包被丢弃。

MASQ 通知核心将该包伪装，该值只对转发链和用户自定义链起作用。

REDIRECT 通知核心将包改送到一个本地端口，该值只对输入链和用户自定义链起作用，并且只有UDP和TCP协议才可以使用该值。

RETURE 通知内核将该包跳过所有的规则，直接到达所有链的链尾。

在Linux系统IP链的转发链上可以配置IP伪装。实际上，IP伪装是一个比包过滤策略更安全的解决方案，它不仅能够提供一种安全机制，还同时解决了Internet中IP地址资源不足的问题。IP伪装使一台计算机在访问Internet时，能够将本台机器的真正IP地址伪装成其它地址。如果连接到Internet上的一台主机具有IP伪装功能，则这台机器不管是通过局域网，还是PPP拨号都可以与Internet连接。尽管在使用PPP时，这样的主机根本没有自己正式的IP地址。这说明可以将一台主机隐藏在一个网关后面来访问Internet，使得这台主机既实现了对Internet的访问，又实现了其访问对外界的不可见性（即隐藏性）。显然，这种隐藏性使得系统非常安全，因为外界根本意识不到主机的存在，也就不可能对主机实施存取操作，更不能入侵和破解。通常情况下，使用IANA保留的私有地址来进行伪装。

在防火墙转发链配置IP伪装后，内部网络上的主机向Internet发送访问IP包时，内核将源IP地址换成网关的IP地址，并记录被伪装的IP地址后再转发该IP包。当这个包的Internet应答包从Internet进入网关时，内核执行去除IP伪装的操作，即将目的地址替换成内部地址。

通过适当的设置，IP伪装可以在某个网段、某台主机、某个接口、某个协议甚至是某个协议的某些端口上实现，非常灵活。IP伪装可以将内部网络的细节对外部网络屏蔽掉，因此，IP伪装提供了很好的安全性。

一般来说，安装相应版本的Linux系统时，系统会自动将Ipchains安装上。如果系统没有安装IP链软件包，可以通过光盘或从网上下载软件包来安装。

如果是rpm包，使用如下命令安装：
#rpm -ivh *.rpm

如果是.tar.gz包，则先需要将压缩包解压：
#tar xvfz *.tar.gz

然后再到解压后所在目录执行如下命令完成安装：
#./configure
#make
#make install

这样就将IP链防火墙成功安装在系统中。成功安装Ipchains后，接下来就是启动并配置包过滤规则。启用Ipchains需要完成如下操作：
◆ 手工修改/proc/sys/net/ipv4/ipforward文件，将其内容置为1。
◆ 在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件。
◆ 在/etc/rc.d目录下的rc.local文件中加上下面这段代码：
if [-f /etc/rc.ipfwadm]；then /etc/rc.d/rc.ipfwadm;fi;

这使得以后所有Ipchains的配置命令都将在rc.ipfwadm文件里修改。

和IPFW一样，Ipchains也是基于配置策略进行包过滤的。使用的策略方式也是两种：
（1）首先允许所有的包都可通过，然后禁止有危险的包；
（2）首先禁止所有的包，然后再根据所需要的服务允许特定的包通过。

Iptables

Iptables是一个管理内核包过滤的工具，可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些过滤规则的是Netfilter 。Netfilter是Linux核心中一个通用架构，它提供一系列的表（tables），每个表由若干链（chains）组成，而每条链中可以由一条或数条规则（rule）组成。