◆郭 冰 楊海艷

?

淺談一種改進(jìn)的綜合包過濾防火墻的設(shè)計(jì)與應(yīng)用

◆郭 冰1楊海艷2

(1.惠州商貿(mào)旅游職業(yè)技術(shù)學(xué)校 廣東 516025；2.惠州城市職業(yè)學(xué)院 廣東 516025)

隨著網(wǎng)絡(luò)的發(fā)展，企業(yè)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全也越來越受到企業(yè)的重視，防火墻是解決企業(yè)數(shù)據(jù)安全的最佳手段，企業(yè)防火墻一般架構(gòu)在Intranet與Internet之間，是保護(hù)企業(yè)內(nèi)部數(shù)據(jù)安全的一道最基本的屏障，本文以開源的CentOS Linux操作系統(tǒng)防火墻為研究對(duì)象。以工程化的形式通過對(duì)防火墻的原理進(jìn)行分析以及防火墻技術(shù)進(jìn)行研究，最終建立一個(gè)改進(jìn)的綜合包過濾防火墻以保障內(nèi)網(wǎng)數(shù)據(jù)安全。

防火墻；包過濾；數(shù)據(jù)安全

0 引言

防火墻是一種形象的說法，實(shí)際不是用來防火，是一組由硬件和軟件構(gòu)成的網(wǎng)絡(luò)設(shè)備，一般部署在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，或者信任區(qū)域和非信任區(qū)域之間，用于防范外部用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)，主要是對(duì)內(nèi)網(wǎng)部流入流出的數(shù)據(jù)進(jìn)行安全審計(jì)，通過一些列的訪問控制規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)對(duì)所有的通信流量做出允許通過和拒絕通過的動(dòng)作。

1 現(xiàn)有防火墻的基本類型

代理服務(wù)器: 代理服務(wù)器因?yàn)闄z查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性所以代理服務(wù)器也叫應(yīng)用型網(wǎng)關(guān)。

狀態(tài)監(jiān)測(cè)防火墻:此種防火墻相對(duì)于其他防火墻，安全性能有所提升，集成了幾種防火墻的優(yōu)點(diǎn)，他在防火墻的核心部分建立數(shù)據(jù)連接，檢查數(shù)據(jù)報(bào)的狀態(tài)信息，可以這樣說，狀態(tài)檢測(cè)包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層的行為。

包過濾防火墻:在現(xiàn)實(shí)生活中，要郵寄大件的貨物時(shí)，要把大件的貨物拆分，分成小件小件的包裹，然后給每個(gè)小件的包裹貼上標(biāo)簽以及運(yùn)送目的地，在TCP/IP參考模型中，用戶的數(shù)據(jù)也必須分割成特定大小的數(shù)據(jù)包，然后給數(shù)據(jù)包添加上源IP以及目的IP地址信息以及順序號(hào)，當(dāng)數(shù)據(jù)包經(jīng)過路由器時(shí)，路由器會(huì)讀取數(shù)據(jù)包中的IP地址信息，然后選擇一條合適的物理線路發(fā)數(shù)據(jù)包發(fā)送給目的地。包過濾防火墻在處理數(shù)據(jù)包時(shí)對(duì)用戶來說是透明的，它不記錄數(shù)據(jù)包的來源信息，對(duì)于使用IP地址欺騙技術(shù)的的用戶很難追蹤其源頭，黑客們通常偽裝一些列的源IP地址，一旦有一個(gè)包通過了防火墻，黑客便可以利用這個(gè)IP地址偽裝他們發(fā)送的數(shù)據(jù)包信息通過包過濾防火墻。

2 改進(jìn)的綜合包過濾防火墻的設(shè)計(jì)

為了解決當(dāng)前包過濾防火墻各的不足，改進(jìn)的綜合包過濾防火墻的設(shè)計(jì)把當(dāng)前的包過濾防火墻、代理服務(wù)器以及狀態(tài)監(jiān)測(cè)等類型的防火墻結(jié)合起來，采用多堡壘主機(jī)的架構(gòu)設(shè)計(jì)，這樣做的優(yōu)勢(shì)在于：提高系統(tǒng)效能，增加系統(tǒng)冗余，分離數(shù)據(jù)和程序。新型綜合型防火墻可以讓一臺(tái)堡壘主機(jī)處理對(duì)于內(nèi)部網(wǎng)用戶比較重要的服務(wù)，而讓另外一臺(tái)堡壘主機(jī)處理向外部網(wǎng)絡(luò)提供的服務(wù)，如此一來，內(nèi)外部用戶互不干擾，互不影響。

3 工程背景

企業(yè)現(xiàn)計(jì)劃用一臺(tái)Linux服務(wù)器充當(dāng)網(wǎng)關(guān)，為了保障企業(yè)內(nèi)部的網(wǎng)絡(luò)安全，需要使用Linux服務(wù)器系統(tǒng)的防火墻功能，做適當(dāng)?shù)呐渲茫源_保企業(yè)內(nèi)網(wǎng)的安全，具體的要求有：允許內(nèi)網(wǎng)samba,smtp,pop3,連接；允許dns連接；允許外網(wǎng)vpn連接；為了防止DoS太多連接進(jìn)來,那么可以允許最多15個(gè)初始連接,超過的丟棄；禁止icmp通信即不允許ping；內(nèi)網(wǎng)轉(zhuǎn)發(fā)；防止輕量級(jí)的SYN攻擊；允許 vpn客戶走vpn網(wǎng)絡(luò)連接外網(wǎng)星期一到星期六的8:00-12:30禁止qq通信以及網(wǎng)頁版QQ通信；禁止ay2000.net。

4 方案實(shí)施

一般做為NAT的計(jì)算機(jī)同時(shí)也是局域網(wǎng)的網(wǎng)關(guān)，該機(jī)有兩塊網(wǎng)卡eth0、eth1，eth0連接內(nèi)網(wǎng)，IP為192.168.223.254；eth1連接局域網(wǎng)，IP為202.21.88.88，通過相關(guān)命令配置好服務(wù)器的IP地址。

打開服務(wù)器的路由轉(zhuǎn)發(fā)功能：

【echo 1 > /proc/sys/net/ipv4/ip_forward】

允許內(nèi)網(wǎng)samba,smtp,pop3,連接:

【iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT】允許samba連接

【iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT】允許smtp連接

為了防止DoS太多連接進(jìn)來,允許最多15個(gè)初始連接,超過的丟棄:

【iptables -A INPUT -s 192.168.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT】

允許DoS連接:

【iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP】

DoS連接超過15個(gè)后丟棄

禁止icmp通信不允許ping:

【iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "】

【iptables -A INPUT -p icmp -j DROP】

內(nèi)網(wǎng)轉(zhuǎn)發(fā):

【iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE 】

防止輕量級(jí)的SYN攻擊:

【iptables -N syn-flood】

【iptables -A INPUT -p tcp --syn -j syn-flood 】

【iptables -A syn-flood -j REJECT 】

允許 vpn客戶走vpn網(wǎng)絡(luò)連接外網(wǎng):

【iptables -P FORWARD DROP】

【iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT】

【iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT】

星期一到星期六的8:00-12:30禁止qq通信：

【iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 12:30 --timestop 23:59 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP】

【iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 0:01 --timestop 7:59 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP】

隱藏防火墻的存在:

【iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset】

REJECT：類似于DROP，但向發(fā)送該包的主機(jī)回復(fù)由--reject-with指定的信息，從而可以很好地隱藏防火墻的存在。

IP規(guī)則的保存與恢復(fù):

【iptables-save】把規(guī)則保存到文件中，再由目錄rc.d下的腳本（/etc/rc.d/init.d/iptables）自動(dòng)裝載,使用命令【iptables-save】來保存規(guī)則。一般用【iptables-save > /etc/sysconfig/iptables】生成保存規(guī)則的文件 /etc/sysconfig/iptables，也可以用【service iptables save】它能把規(guī)則自動(dòng)保存在/etc/sysconfig/iptables中。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，rc.d下的腳本將用命令iptables-restore調(diào)用這個(gè)文件，從而就自動(dòng)恢復(fù)了規(guī)則。

5 結(jié)束語

防火墻的設(shè)計(jì)好與壞，關(guān)系到企業(yè)內(nèi)部的數(shù)據(jù)安全，但是再好的防火墻能也只能解決大部分的網(wǎng)絡(luò)安全問題，因?yàn)闄C(jī)器畢竟是機(jī)器，網(wǎng)管人員必須明白不可過分依賴防火墻。比如，防火墻不能防患繞過防火墻的攻擊，防火墻不能防止收到病毒感染的文件或軟件，防火墻不能防止驅(qū)動(dòng)式攻擊等等。