人人都可以使用的Linux防火墙(1)

需要一个个人防火墙、一个企业internet网关还是这两者之间的什么东西吗?iptables可以完全满足你的需要!

在任何通用的Linux操作系统中,内核包括了一些非常强大且非常灵活的防火墙代码,这个代码叫做Netfilter,不过我们大都通过用户空间命令iptables来引用它,Netfilter/iptables允许你的Linux内核检查所有通过你系统的网络通讯,基于一套非常丰富的标准来判定通讯是做什么的。

用iptables建立Linux防火墙是一个大的话题-已经有完整的书籍介绍它(Suehring, S., and Ziegler, R. Linux Firewalls, 3rd edition. Upper Saddle River, NJ: Novell Press, 2005),事实上,防火墙工程师本身是一个职业(实际上,我就是干这行的),因此,没有人能在一篇杂志文章中告诉你你需要知道的用iptables建立防火墙的每件事情。

但是我能提供iptables能做什么事情的一个概述,一些用于Linux防火墙设计的合理原则,建立不同类型防火墙的方便工具的描述,以及更多关于Linux防火墙的详细信息。

Linux防火墙的类型

防火墙,或更精确地说数据包过滤器,可以用于许多方面,它可以用于本地单独的服务器和桌面系统提供主机级别的保护,阻止基于网络的攻击,用于网络结构层保护整个网络,阻止来自其他网络的攻击,以及重定向甚至改变网络数据包。

Linux防火墙可以做成基于Linux的专用硬件设备,如一台有多个网络接口的PC或一台普通的、单个接口的工作站或服务器。许多商业防火墙设备也是基于Linux/iptables的,与你想象的相反,如果部署在强大的硬件上,基于PC的Linux防火墙也能表现得相当好。

那些组成Linux防火墙的元素,它们为两个不同的角色服务,防火墙装置和基于PC的多接口防火墙被我叫做网络防火墙使用,它们作为专用的网络设备,逻辑上与IP路由器相当,路由器管理不同网络之间的通讯。(技术上,防火墙是路由器,它们仅挑剔路过它们的内容),网络防火墙也常常完成网络地址转换(NAT)功能,典型地,它们允许没有internet ip地址的主机能够访问互联网。

然后,介绍下被我称为本地防火墙-工作站或服务器的主要功能根本不是防火墙,但是它们需要保护它们自己,据我看来,任何连接到互联网的计算机,无论是服务器还是工作站,都应该运行一个本地防火墙策略,至于Linux系统,我们还没有借口不使用Linux内置的Netfilter/iptables功能,而且,这是最容易创建的防火墙脚本类型,本文稍后会进行展示。

防火墙设计原则

在我们开始讨论Linux防火墙工具前,我们应该先了解一下一些常见的防火墙设计原则,无论你用iptables保护一个独立的主机还是整个网络这些原则都是(或应该是)同等有效的。

首先,这里有一些术语:

◆数据包过滤器:检查单个网络数据包,与一套规则进行对比,并按照规则进行处理。
◆防火墙策略:一套具体的iptables命令或一套iptables命令执行的高级设计目标。
◆防火墙规则或数据包过滤规则:防火墙策略的独立组件-独立的iptables命令重复。

建立包过滤规则的第一步是精确地判断你希望你的防火墙做什么-也就是用公式表达你的高标准的防火墙策略,例如:如果我为工作站创建一个本地防火墙脚本,我的逻辑策略看起来象下面这样:

1、允许出站DNS查询,通过HTTP和HTTPS进行网上冲浪,通过IMAP检索E-mail,从本地系统到整个外部网络的出站SSH和出站FTP传输。
2、允许从我地下室的其他工作站到本系统的入站SSH连接。
3、阻止任何其它的出入站内容。

跳过这一定义你高标准策略的重要一步就如编写软件前没有先定义需求一样。

我建议无论你对策略做出什么决定,你都应该将其象限制一样要是可行的,许多年以前Marcus Ranum就非常简明地指出了设计防火墙的指导原则:"不能清楚地允许就是禁止",这个道理相当简单,因为你认为只要不是必须的网络传输,是不允许被滥用的,尽管如此并不意味着某些攻击者就不能滥用它了。

因此,每个防火墙策略都必须使用一个阻止规则结束,阻止所有未在前面策略语句特殊指出的通讯。

这不仅在网络/企业防火墙策略上是真理,在个人/本地防火墙上也一样,在个人防火墙上一个常犯的错误是允许所有的出站传输,假设所有本地的进程都是受信任的,如果你的系统被一个蠕虫、木马或病毒感染,这个假设将被击穿。

在一个如被感染的事件中,你或许不想恶意软件能使用你的系统发送垃圾邮件,特别是分布式拒绝服务攻击等等,因此,优先限制的不仅只有入站(来自外部)网络传输,而且还有出站(来自内部/本地)传输,即使是在桌面或服务器系统的本地防火墙策略也应该如此。

另外一个重要的防火墙设计原则是无论什么时候都将类似的危险组织在一起,换句话说,系统和网络有不同的信任等级和不同的暴露危险的等级,它们都应该用网络防火墙进行互相隔离。