以下是小编为大家准备的dmz基础及应用防火墙技术(共含8篇),仅供参考,欢迎大家阅读。同时,但愿您也能像本文投稿人“不吃不吃就不吃╭”一样,积极向本站投稿分享好文章。
一:什么是dmz
dmz(demilitarized zone)即俗称的非军事区,与军事区和信任区相对应,作用是把web,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求,dmz可以理解为一个不同于外网或内网的特殊网络区域,dmz内通常放置一些不含机密信息的公用服务器,比如web、mail、ftp等。这样来自外网的访问者可以访问dmz中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使dmz中服务器受到破坏,也不会对内网中的机密信息造成影响。
二:为什么需要dmz
在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全级别的保护,可以构建一个dmz区域,dmz可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非dmz系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置dmz,我们可以将需要保护的web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于dmz中,这样就为应用系统安全提供了保障。dmz使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临dmz设置的新的障碍。
三:dmz网络访问控制策略
当规划一个拥有dmz的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问dmz
此策略是为了方便内网用户使用和管理dmz中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问dmz
dmz中的服务器本身就是要给外界提供服务的,所以外网必须可以访问dmz。同时,外网访问dmz需要由防火墙完成对外地址到服务器实际地址的转换。
5.dmz不能访问内网
很明显,如果违背此策略,则当入侵者攻陷dmz时,就可以进一步进攻到内网的重要数据。
6.dmz不能访问外网
此条策略也有例外,比如dmz中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(dmz)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
四:dmz服务配置
dmz提供的服务是经过了地址转换(nat)和受安全规则限制的,以达到隐蔽真实地址、控制访问的功能,
首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定dmz区应用服务器的ip和端口号以及数据流向。通常网络通信流向为禁止外网区与内网区直接通信,dmz区既可与外网区进行通信,也可以与内网区进行通信,受安全规则限制。
1 地址转换
dmz区服务器与内网区、外网区的通信是经过网络地址转换(nat)实现的络地址转换用于将一个地址域(如专用intranet)映射到另一个地址域(如internet),以达到隐藏专用网络的目的。dmz区服务器对内服务时映射成内网地址,对外服务时映射成外网地址。采用静态映射配置网络地址转换时,服务用ip和真实ip要一一映射,源地址转换和目的地址转换都必须要有。
2 dmz安全规则制定
安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规
关 键 字:防火墙
防火墙・什么是DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如下图所示。网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。
DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的'是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。
在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。
防守在网络安全中的重要性不必多说,保护网络最常见的方法就是使用防火墙。防火墙作为网络的第一道防线,通常放置在外网和需要保护的网络之间。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。这对于一些中小企业来说是简单易行的,而且这种解决方法在某些情况下也表现不错。然而这种结构毕竟比较简单。企业中有许多服务器、客户机等资源需要保护,不同的资源对安全强度的要求也不同。不能用对待客户机的安全级别来对待服务器,这样服务器将会很危险;同样,也不能用对待服务器的安全级别来对待客户机,这样用户会感觉很不方便。
针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、 Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
许多防火墙产品都提供了DMZ的接口。硬件防火墙由于使用专门的硬件芯片,所以在性能和流量上有绝对的优势。软件防火墙的性价比非常好,一般企业使用起来效果不错。如果使用Linux防火墙,其成本将更低。因此这里将要介绍的是在Linux防火墙上划分DMZ区域的方法。
构建DMZ的策略
Linux从2.4内核开始,正式使用iptables来代替以前的ipfwadm和ipchains,实现管理Linux的包过滤功能。Linux的包过滤通过一个叫netfilter的内核部件来实现。netfilter内建了三个表,其中默认表Filter中又包括3个规则链,分别是负责外界流入网络接口的数据过滤的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT链,以及负责在网络接口之间转发数据过滤的 FORWARD链。要构建一个带DMZ的防火墙,需要利用对这些链的设定完成。首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断,这是在 INPUT链上完成。如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(eth1)上;如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(eth2)上。表1显示了各个网络之间的访问关系。
表1 网络间访问关系表
内网 外网 DMZ
内网 / Y Y
外网 N / Y
DMZ N N /
根据表1,可以明确以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
DMZ的实现
根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图1。
图1 DMZ网络拓扑图
如图1所示,路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡 eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用“[内网地址]”来代表“192.168.1.0/24”之类的具体数值。同理还有“[外网地址]”和“[DMZ地址]”。
对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包,
对应的防火墙脚本片段如下: # Flush out the tables and delete all user-defined chains
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
# Drop every packet
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
六种策略的实现。
1.内网可以访问外网
对应的防火墙脚本片段如下:
/sbin/iptables -t nat -A POSTROUTING -s [内网地址] -d [外网地址] -o eth0 -j SNAT --to [NAT的真实IP]
当数据从连接外网的eth0流出时,要将来自内网的数据包的源地址改成Internet上的真实IP,这样才能和外网的主机进行通信。“[NAT的真实IP]”表示分配给NAT用户的真实IP,有几个就写几个,以空格分开,但至少要写一个。
2.内网可以访问DMZ
对应的防火墙脚本片段如下:
/sbin/iptables -A FORWARD -s [内网地址] -d [DMZ地址] -i eth2 -j ACCEPT
以上命令允许所有来自内网、目的地为DMZ的数据包通过。
3.外网不能访问内网
对应的防火墙脚本片段如下:
/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [内网地址] -i eth0 -j DROP
以上命令将来自外网、去往内网的数据包全部丢弃。
4.外网可以访问DMZ
为了保护DMZ中的服务器,外网对DMZ的访问也要加以限制。通常的思路是,只允许外网访问DMZ中服务器所提供的特定服务,比如HTTP。
对应的防火墙脚本片段如下:
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -d [分配给HTTP服务器的Internet上的真实IP] -s [外网地址] -i eth0 -j DNAT --to [HTTP服务器的实际IP]
/sbin/iptables -A FORWARD -p tcp -s [外网地址] -d [HTTP服务器的实际IP] -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d [外网地址] -s [HTTP服务器的实际IP] -i eth1 --sport 80 ! --syn -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [DMZ地址] -i eth0 -j DROP
该防火墙脚本片段将开放HTTP服务,使得只有访问DMZ中HTTP服务的数据包才能通过防火墙。
5.DMZ不能访问内网
对应的防火墙脚本片段如下:
/sbin/iptables -A FORWARD -s [DMZ地址] -d [内网地址] -i eth1 -j DROP
以上命令将丢弃所有从DMZ到内网的数据包。
6.DMZ不能访问外网
对应的防火墙脚本片段如下:
/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 25 -d [外网地址] -s [邮件服务器的IP] -o eth0 -j SNAT --to [分配给SMTP服务器的Internet上的真实IP]
/sbin/iptables -A FORWARD -p tcp -s [邮件服务器的IP] -d [外网地址] -i eth1 --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d [邮件服务器的IP] -s [外网地址] -i eth0--sport 25 ! --syn -j ACCEPT
以上命令先允许DMZ中邮件服务器连接外网的SMTP服务端口(25),然后禁止其它从DMZ发往外网的数据包。
针对以上基本策略例举了实现它们的基本规则。在实际应用中,需要根据具体情况进行设置。只要设置得当,Linux也能成为很好的防火墙。需要补充的是,无论何种防火墙都只能提供有限的保护。设置好防火墙不等于网络就是安全的,关键在于综合运用各种安全手段。
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙,这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?
你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些服务器将保护你的敏感的内部网络不受恶意的外部用户入侵。在这种情况下,防火墙将监视全部入网的通信,以确定这种通信是应该转到隔离区网络还是应该传送到受保护的内部网络。传统的隔离区检查从内部网络发往外部网络的全部通信,以确定是否让这种通信通过:1.是否允许要求网络和邮件服务的内部数据包从受保护的内部网络发送到隔离区网络;2.作为来自内部请求的应答,允许通信从隔离区进入受保护的内部网络;3.是否允许这些通信进入互联网。你应该知道这种结构是一种双宿网关结构,因为这种防火墙有两个接口,一个通向隔离区,另一个通向内部网络。
进一步讲,这种双防火墙隔离区结构(有时候称做子网防火墙)增加了另一层防御并且把内部网络与庞大而邪恶的外部世界隔离开来,
通过在它们前面再设置一个防火墙以及在你的内部网络前面再增加一个防火墙,你还将为面向公众的主机提供进一步的保护。使用这种机构,受保护的网络和互联网之间的通信必须要经过这两个防火墙。这些防火墙将为你对外开放的服务器提供最初的第一线防御,防止恶意通信的入侵。
因此,你必须下定决心。下面这些通信问题有助于你做出决策:
·从性能的角度说,你能够承受让外部通信经过两道防火墙而不是一道防火墙而带来的性能损失吗?
·你能够监视通过这个网络的两个线路的通信吗?
·你应该从哪里监视那个通信?
·你需要一直拥有从被攻破状态立即恢复到正常状态的能力吗?这种能力包括在一个防火墙系统关闭的时候保持另一个防火墙运行和通信畅通。
·你有必备数量的网络端口吗?
·你的预算允许你使用两个防火墙吗?或者这种开支是被禁止的吗?
这里的底线是:传统的隔离区结构向你提供公共服务的机器提供了一层额外保护,但是,这需要增加额外的操作和维护工作。双防火墙隔离区的选择是最安全的,但是,它也是一把双刃剑,应用和运行的成本都非常昂贵。
一、防火墙原理
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施,它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。
作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
二、防火墙的种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
1 网络级防火墙:
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
2 应用级网关:
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙,
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
3 电路级网关:
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。
4 规则检查防火墙:
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。
规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
三、使用防火墙
在具体应用防火墙技术时,还要考虑到两个方面:
1、防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。
2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。
总之,防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
概述
在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点 显著,它们和Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而 且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最 低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有 关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分 是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问 题。要使系统安全高效地运行,安装人员和管理人员必须能够理解该软件产品的 运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。
防火墙的基本模型
基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈( 网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙 是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制 网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类 基本模型:即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火 墙。它们涉及的技术有应用代理技术和包过滤技术等。
应用代理网关允许 内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用 户与目的地进行连接。由于应用代理网关在应用层进行代理,所以它可以对应用 协议进行控制,而且还可以在应用级进行记录。它比网络级防火墙的安全措施更 加严格,因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数 。然而,采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要 求应用代理进程为其提供应用服务,所以速度较慢,并且不如网络层防火墙那样 透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。
电路级网关与应用代理网关类似,但进行的代理通常与应用无关。这样就失去了 详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备, 它只支持TCP/IP应用,使用TCP端口实现网络资源和用户应用程序之间的通信。它 还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现 这类防火墙模型的软件。
网络层的IP包过滤防火墙在IP包水平上工作。它 根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过 滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全 ,但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络,但不能 记录谁访问了公开的系统,以及谁从内部网络访问Internet。在Linux内核中支持 IP包过滤,所以不需要增加其他软件就可以构建包过滤防火墙,Ipchains软件包 是Linux平台上一个功能强大的包过滤策略管理软件,用于设置可靠的防火墙系统 。
Ipchains及IP伪装原理
在Linux系统上,支持包过滤的核心中有 三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发 链。当一个包从Internet进入配置了防火墙的Linux主机,内核使用输入链决定该 包的取舍。如果该包没有被丢弃,则内核继而调用转发链决定是否将包发送到某 个出口,最后包要被发出前,内核通过输出链来做决定。
图1 Ipchains 流程图
一个链是一系列规则的列表。每个规则规定:如果包的 包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入 链中的下一条规则。最后,如果没有要引入的规则,内核根据内置策略决定如何 做。在一个有安全意识的系统中,该规则通常告诉内核将包拒绝或丢弃。
通过适当配置IP过滤规则,即三条链的过滤策略,该防火墙可以控制输入的包来 自信任的IP网段,也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别 指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外,我 们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执 行,完成后再回到主链,这使过滤规则可以相当灵活。
在防火墙链中有一 些特殊的跳转目标值如下表所示:
在防 火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案,它同时解决了 Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能 够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具 有IP伪装功能,那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接 的,尽管它们没有正式的IP地址,都可与Internet连接。这意味着可将一系列主 机藏在一个网关系统之后来访问Internet,它们的访问在外界看来是不可见的。
由于要伪装的主机没有正式的IP地址,可以使用IANA(Internet Assigned Numbers Authority)保留的私有网络地址,即:
10.0.0.0~ 10.255.255.255????1个A类地址
172.16.0.0~172.31.255.255???16个连 续B类地址
192.168.0.0~192.168.255.255??255个连续C类地址
在 防火墙的转发链配置了IP伪装后,当内部网络上的主机向Internet发出访问的IP 包时,内核将包中的源IP地址换成网关的IP地址,并记录被伪装的IP地址,然后 转发这个包。当这个包的应答IP包从Internet进入网关时,内核会进行去IP伪装 的操作,将目的地址替换成内部地址。IP伪装规则只能配置于转发链,通过适当 配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口 进行IP伪装。IP伪装对外部屏蔽了内部网络的细节,外部甚至不知到内部网络的 存在,因此安全性更好。
构建IP防火墙的策略
一、基本配置方式
配置Ipchains防火墙基本上有两种方式: 第一种方式是先丢弃或拒绝所有 的包,然后明确地指出允许符合哪些条件的包通过,
这种方式最安全,但当用户 需要某些服务时,必须针对相应的服务进行修改,管理者必须清楚应该打开哪些 服务和端口。这种方式适合于仅包含服务器、没有终端用户的小型网络。另一种 方式是先接受所有的包,然后明确指出禁止某些类型的包。这种方式使网络类型 较为开放,只是对危险的或不需要的协议进行控制。例如为了减少网络的流量, 可以阻止“CUSeeMe”的包。这种方式比较容易配置。
二、不 应该过滤的包
在开始过滤某些不想要的包之前要注意以下内容:
● ICMP包
ICMP包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致 不能得到“Host unreachable”或“No route to host” 等信息。ICMP包还用于MTU发现,某些TCP实现使用了MTU发现来决定是否进行分段 。MTU发现通过发送设置了不进行分段的位的包探测,当得到的ICMP应答表示需要 分段时,再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包),则本地主机不减少MTU大小,这将导致测试无法 停止或网络性能下降。
● 到DNS的TCP连接
如果要拦阻出去的TCP 连接,那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节 ,客户端将使用TCP连接,并仍使用端口53接收数据。若禁止了TCP连接,DNS大多 数情况下会正常工作,但可能会有奇怪的延时故障出现。如果内部网络的DNS查询 总是指向某个固定的外部DNS服务器,可以允许本地域端口到该服务器的域端口连 接。
● 主动式FTP的TCP连接
FTP有两种运作方式,即传统的主动 式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下,FTP 服务器发送文件或应答LS命令时,主动和客户端建立TCP连接。如果这些TCP连接 被过滤,则主动方式的FTP将被中断。如果使用被动方式,则过滤远地的TCP连接 没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。
三、针对可能的网络攻击
防火墙的性能是否优良关键在于其配置 能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特 点设定完善的安全策略。以网络常见的“ping of death”攻击为例, “ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP 堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普 通的ICMP包大都不需要到分段的程度,阻挡ICMP分段只拦阻大的 “ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻 击。
TurboLinux平台上的Ipchains防火墙实例
一、 应用背景
在TurboLinux 6.1平台上实现IP包过滤防火墙,将内部网络配置为IP伪装 方式访问Internet。
内部网络与防火墙间用以太网连接,内部网址取IANA 的C类地址192.168.1.*。防火墙与外部网络通过modem和电话线与PPP服务器连接 (连接示意图如图2所示)。
二、 准备工作
1. 检查Linux系统是否支持IP 伪装。输入命令:# ls /proc/sys/net/ipv4,若存在“ip_forward”、 “ip_masq_debug”、“ip_masq_udp_dloose”、 “ip_always_defrag”等文件则内核已支持IP 伪装,否则需要重新编 译内核。
2. 配置网卡和PPP连接的IP地址,这部分可查阅相关资料。
三、配置命令
编辑配置命令文件/etc/rc.d/rc.firewall,将防火 墙的配置命令写成执行脚本。
# 打开系统内核的IP转发功能
echo “1”?? /proc/sys/net/ipv4/ip_forward
# 打开系统 内核的自动IP分段重组功能
echo“1”?? /proc/sys/net/ipv4/ip_always_defrag
# 设定IP伪装的超时时间,TCP会 话超时为7200秒,
TCP/IP的“FIN”分组收到后会话的延迟时间 为10秒,UDP超时160秒
/sbin/ipchains/ -M -S 7200 10 160
# 设定 内部网络的IP伪装,规定转发链规则
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.1.0/24 -j MASQ
最后,改变这个脚本文件的执行权限为可执行。输入命令:# chmod 700/etc/rc.d/rc.firewall。可以手工方式运行这个脚本,也可以在文 件/etc/rc.d/init.d中加入一行: /etc/rc.d/rc.firewall,这样每次系统启动时 可自动运行这个脚本。
四、系统测试
系统配置好以后,可以从内 部子网的任意一台主机上“ping”一下外部的某个服务器,若能 “ping”通,则IP伪装配置是正确的。
可能的安全漏洞
对防火墙的不当配置可能造成安全漏洞。如处理TCP分段时,Ipchains需 要查看包头中的源端口、目的端口、ICMP代码或“TCP SYN”标志等信 息,而这些信息只能在TCP分段的第一个IP包中才有。于是从第二个分段开始都不 能匹配过滤规则。某些管理者将防火墙配置为仅对第一个分段进行处理。通常, 一个TCP连接的第一个TCP分段被防火墙阻挡后,其他的TCP分段被认为不会产生安 全性问题,因为在目的主机上由于缺少第一个分段而无法重新组装报文。然而, 由于系统缺陷等原因,发送的分段可能使机器瘫痪,甚至人为精心设计的IP包可 借此缺陷绕过防火墙。因此配置防火墙需要仔细分析过滤规则如何处理各种类型 的分组。对分段的处理最好将系统内核编译为重新组装所有通过的分段,或在应 用层另设安全机制。
对基于包过滤防火墙更常见的攻击是利用IP欺骗的方 法。IP欺骗是指主机发送自称是另一个主机发送的包。防止IP欺骗的方法是使用 源地址确认,它通过配置路由器识别路由代码实现,而不是防火墙。防火墙结合 源地址确认能较好地增强系统的安全性。
什么是应用安全呢?应用安全就是对网络应用的安全保障,这些应用包括:信用卡号码、机密资料、用户档案等信息,那么什么是保护这些应用不受恶意攻击的困难所在呢?,在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢?下文总结了八项应用安全技术,全文如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流,
流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
常在河边走,哪有不湿鞋,
我不怕 outpost防火墙应用攻略防火墙技术
。经常上网的朋友大都有过被 、病毒攻击的经历,于是自己的一些诸如邮箱账号、qq密码、论坛账号等重要数据就存在被窃取的危险。而在更多的情况下,则往往会发生系统不断重启、黑屏甚至系统瘫痪等现象。
为了防止这些恶意攻击,一款好用的防火墙自然必不可少,比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具,它便是“outpost firewall”。它除了能够预防来自cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 internet潜在的危险外,还可以利用插件去让功能得到进一步拓展,使该款产品更加超值。
一、outpost firewall的基本应用方法
将该防火墙安装后,软件会要求进行“自动配置个人防火墙规则”,一般选择“自动配置防火墙规则”即可;而在下一步的“网络配置”中,一般可以选择“使用自动配置规则”,当完成这些后,必须重新启动操作系统。
步骤1重启系统后,它就开始发挥作用了,在启动过程中若某个程序需要连接网络,那么便会弹出有关为该程序创建规则的对话框。在该对话框中,我们可以从对话框的标题名称或者页面上的程序名称,了解到该程序到底为何种程序。
防火墙规则设置
步骤2如果该程序值得信任,用户也对它非常了解,那么只要点选“允许这个应用程序的所有动作”选项,就可以让该程序顺利通过防火墙的验证;若是用户得知该程序具有一定的危害性,那么不妨点选“挡截这个应用程序的所有动作”选项,这种该程序就不会再与网络发生连接关系。
步骤3若是用户对该程序不甚了解,那么不妨单击“本次允许”或“本次挡截”按钮,去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后,便可为其设置永久性的动作。当设置完成后,单击“确定”按钮即可。
二、更改防火墙运行模式
之所以会弹出上述创建规则对话框,这是因为“outpost firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦,那么不妨双击系统中的防火墙图标打开其主界面,依次打开主菜单“选项→运行模式”选项命令,在弹出的对话框中便可更改防火墙的运行模式。
更改运行模式
其中单击“禁用模式”选项,便可让防火墙失去作用,当前系统便不会受到防火墙的任何防护;单击“允许大部分通讯模式”选项,那些没有被禁止的通讯都可允许出入本机系统;单击“禁止大部分通讯模式”选项,则可让所有没有被允许的通讯禁止出入本机系统;而单击“停止通讯模式”,就可以使本机与网络的连接完全断开。
三、为程序“量身定做”通讯方式
在选择防火墙的运行模式时,我们发现“允许的通讯”和“禁止的通讯”这些表述,那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢?为了便于说明,我们以禁止和允许qq应用程序进行通讯为例。
1、禁止qq通讯
步骤1在开启的主界面中,依次打开“选项→应用程序”选项命令,在出现的对话框中选中“禁止的应用程序”选项。
关 键 字:防火墙
