使用iptables建设Linux防火墙.pdf

使用 iptables 建置 Linux 防火墙 壹、什么 防火墙 防火墙 一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔 开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些资料可以 流通，哪些资料无法流通，藉此达到网络安全保护的目的。 防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它 们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。 我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使 用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。 防火墙依照其运作方式来分类，可以区分为封包过滤式防火墙 (Packet Filter) 、应用层网关式防火墙 ( pplication-Level Gateway，也有人把它称为 Proxy 防火墙)、电路层网关式防火墙 (Circuit-Level Gateway) 。其中被广为采用的是封包过滤式防火墙，本文要介绍的 iptables 防火墙就 属于这一种。 封包过滤 最早被实作出来的防火墙技术，它 在 TCP/IP 四层架构下的 IP 层中运作。封包过滤器的 功能主要 检查通过的每一个 IP 资料封包，如果其标头中所含的资料内容符合过滤条件的设定就进行 进一步的处理，主要的处理方式包含：放行 （accept ）、丢弃 （drop ）或拒绝 （reject ）。要进行封包过 滤，防火墙必须要能分析通过封包的来源 IP 与目的地 IP，还必须能检查封包类型、来源埠号与 目的埠 号、封包流向、封包进入防火墙的网卡接口、TCP 的联机状态等资料。 防火墙由于种种理由价格一直居高不下，对于贫穷的中小学来讲要采购一台防火墙，简直 不可能的任 务，而由于 Linux 的风行，使用 Linux 来充作软件式防火墙，似乎 不错的解决之道，本文拟介绍以 Linux 上最新最强大的 iptables 防火墙软件，建置出适合学校使用的过滤规则，让缺钱的学校能有一套 好用的防火墙来看守校园网络的大门。 贰、Linux 防火墙演变简史 Linux 最早出现的防火墙软件称为 ipfw ，ipfw 能透过 IP 封包标头的分析，分辨出封包的来源 IP 与目 的地 IP、封包类型、来源埠号与 目的埠号、封包流向、封包进入防火墙的网卡接口等，并藉此分析 结果来比对规则进行封包过滤，同时也支持 IP 伪装的功能，利用这个功能可以解决 IP 不足的问题，可 惜这支程序缺乏弹性设计，无法 自行建立规则组合 （ruleset ）作 精简的设定，同时也缺乏网址转译功 能，无法应付越来越复杂的网络环境，而逐渐被淘汰。 取而代之的 ipchains，不但指令语法 容易理解，功能也较 ipfw 优越；ipchains 允许自订规则组合 （ruleset ），称之为 user-define chains，透过这种设计，我们可以将彼此相关的规则组合在一起，在 需要的时候跳到该组规则进行过滤，有效将规则的数量大幅缩减，以往 ipfw 仅能进行循序过滤，导致规 则又臭又长的毛病，就不药而愈了。除了这个明显的好处以外，ipchains 并能结合本身的端口对应功能 和 redir 程序的封包转送机制，仿真出网址转译的能力，而满足 N T 的完整需求，堪称为一套成熟的 防火墙作品。 防火墙软件的出现，确实曾经让骇客们晚上睡不着觉，因为防火墙的阻隔能够有效让内部网络不设防的 单机不致于暴露在外，也能有效降低服务器的能见度，减少被攻击的机会，骇客过去所用的网络探测技 术因此受到严格的挑战，越来越多的攻击对象躲藏在防火墙后方，让骇客难以接近，因此必须针对新的 情势，研究出新的探测技术，藉以规避防火墙的检查，达到发现目标并进而攻击入侵的目的，新的技术 非常多，本文并不拟进一步讨论，请自行参考 CERT 组织的技术文件，网址 http://www . ， ce03k84,x-/ ，想看中文请连到 .tw/ 。 iptables 作为 ipchains 的新一代继承人，当然也针对骇客不断推陈出新的探测技术拟出一些因应之道， 那就 对封包的联机状态，作出 详细的分析，例如：