朱吉樂江蘇省興化市教師進(jìn)修學(xué)校 江蘇 225700

0 前言

隨著網(wǎng)絡(luò)的不斷發(fā)展，對網(wǎng)絡(luò)安全的要求越來越高，利用防火墻對網(wǎng)絡(luò)進(jìn)行安全保護(hù)也顯得尤為重要。一般情況下單位部門的內(nèi)部網(wǎng)絡(luò)都是在一個(gè)防火墻保護(hù)的情況下運(yùn)行，以下從幾個(gè)方面談?wù)劺肔inux建立廉價(jià)防火墻。

1 透明防火墻與透明代理

防火墻作為實(shí)際存在的物理設(shè)備，它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet之間的任何活動，從而保證了內(nèi)部網(wǎng)絡(luò)的安全。一般防火墻需要對原有網(wǎng)絡(luò)進(jìn)行調(diào)整配置，而透明防火墻則不需要進(jìn)行修改，所謂透明是對用戶的透明，即用戶意識不到防火墻的存在，透明防火墻從用戶與Internet之間加入或者移除，用戶的網(wǎng)絡(luò)設(shè)置不要修改，都能正常使用，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。

透明代理和傳統(tǒng)代理一樣，可以比包過濾更深層次地檢查數(shù)據(jù)信息，比如FTP包的port命令等。同時(shí)它也是一個(gè)非常快的代理，從物理上分離了連接，這可以提供更復(fù)雜的協(xié)議需要，這樣的通信是包過濾所無法完成的。同透明防火墻呼應(yīng)，透明代理也不需要進(jìn)行任何設(shè)置，用戶意識不到代理的存在，便可完成內(nèi)外網(wǎng)絡(luò)的通訊。當(dāng)內(nèi)部用戶需要使用透明代理訪問外部資源時(shí)，代理服務(wù)器會建立透明的通道，讓用戶直接與外界通信，這樣極大地方便了用戶的使用。而一般使用代理服務(wù)器時(shí)，每個(gè)用戶需要在客戶端程序中指明要使用代理，自行設(shè)置Proxy參數(shù)(如在瀏覽器中有專門的設(shè)置來指明HTTP或FTP等的代理)。而透明代理服務(wù)，用戶不需要任何設(shè)置就可以使用代理服務(wù)器，簡化了網(wǎng)絡(luò)的設(shè)置過程。

2 架設(shè)防火墻利于網(wǎng)絡(luò)資源調(diào)配

網(wǎng)絡(luò)各種應(yīng)用的發(fā)展，尤其大容量數(shù)據(jù)傳送服務(wù)，大大地影響了網(wǎng)絡(luò)的應(yīng)用，甚至引起整個(gè)網(wǎng)絡(luò)堵塞，嚴(yán)重影響了網(wǎng)絡(luò)應(yīng)用。隨著防火墻技術(shù)的發(fā)展，這個(gè)問題迎刃而解。防火墻不單單能保護(hù)網(wǎng)絡(luò)，同時(shí)也能控制管理網(wǎng)絡(luò)應(yīng)用。通過設(shè)置安全策略，可以通過時(shí)間、流量、Ip地址、端口、服務(wù)等方面對網(wǎng)絡(luò)應(yīng)用進(jìn)行管理。例如：可以設(shè)定在5:00下班了，允許通過p2p軟件下載，而上班時(shí)間到了又自動禁止p2p軟件的下載。從而根據(jù)各個(gè)網(wǎng)絡(luò)自身特點(diǎn)，制定合適的安全訪問策略，能大大提高網(wǎng)絡(luò)資源的應(yīng)用效率。

3 防火墻架設(shè)

防火墻需要一臺帶有雙網(wǎng)卡的普通電腦，安裝較新版本的Linux，準(zhǔn)備編譯好Iptables防火墻軟件和squid代理軟件。設(shè)置雙網(wǎng)卡同一 Ip地址(直接修改“/etc/sysconfig/networkscript/ifcfg-eth”和“/etc/sysconfig/network-script/ifcfg-eth1”），相同的子網(wǎng)掩碼，其中出口網(wǎng)卡需要設(shè)置網(wǎng)關(guān)，運(yùn)行service network restart使修改生效。設(shè)置簡單路由，一般isp提供8個(gè)公共網(wǎng)地址，這里用a.b.c.0/8表示。在“/etc/rc.d/rc.local”文件中追加以下幾行：

ip router add a.b.c.0/8 dev eth1；內(nèi)網(wǎng)網(wǎng)卡處理所有分配的地址

ip router add a.b.c.1 dev eth0；外網(wǎng)網(wǎng)卡處理網(wǎng)關(guān)地址

ip router del a.b.c.0/8 dev eth0；外網(wǎng)網(wǎng)卡不處理內(nèi)網(wǎng)地址

/sbin/sysctl -w net.ipv4.conf.all.fowarding=1；啟用網(wǎng)絡(luò)包轉(zhuǎn)發(fā)

/sbin/sysctl –w net.ipv4.conf.eth0.proxy_arp=1；外網(wǎng)啟用arp代理

sbin/sysctl –w net.ipv4.conf.eth1.proxy_arp=1；內(nèi)網(wǎng)啟用arp代理

每次重啟后會自動執(zhí)行上面幾個(gè)命令。這樣透明路由就已經(jīng)配置成功，可以作用了。

4 設(shè)置防火墻策略

所謂策略就是數(shù)據(jù)包通行的規(guī)則，設(shè)定什么數(shù)據(jù)包是可以通過的，什么是不可以通過的，在內(nèi)網(wǎng)和外網(wǎng)之間起到過濾的作用，策略可以防止外網(wǎng)直接攻擊內(nèi)網(wǎng)計(jì)算機(jī)，從而保護(hù)了內(nèi)網(wǎng)計(jì)算機(jī)，也可以更好的控制、管理上網(wǎng)的規(guī)則以及時(shí)間、地域、流量等，充分提高網(wǎng)絡(luò)使用的效率。

Linux自帶的 Iptables策略配置工具就可以勝任這項(xiàng)工作，可以安裝一個(gè)較新版本的Iptables(不推薦最新版本)，要充分發(fā)揮防火墻功能的話，還需要增加 Iptables過濾模塊，常用的有以下功能模塊：string(字符串匹配，可以用做內(nèi)容過濾)，comment(備注匹配)，iprang(ip范圍匹配)，time(時(shí)間匹配)，ipp2p(點(diǎn)對點(diǎn)匹配)，connlimit(同時(shí)連接個(gè)數(shù)匹配)，Nth(第 n個(gè)包匹配)，geoip(根據(jù)國家地區(qū)匹配)，ipp2p(點(diǎn)對點(diǎn)匹配)，quota(配額匹配)，等等還有很多?？纯聪旅婧唵螏讉€(gè)例子：

把含有“影院”的數(shù)據(jù)包丟棄：

Iptables -I FORWARD -d 192.168.3.0/24 -m string --string"影院" -j DROP

只允許每個(gè)ip同時(shí)5個(gè)80端口轉(zhuǎn)發(fā)，超過的丟棄:

Iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit--connlimit-above 5 -j DROP

IP地址在192.168.1.5-192.168.1.124之間的可以通過：

Iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT

封殺BT類P2P軟件：

Iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

Iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

Iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

封端口：

Iptables -A INPUT –p tcp –port 20 –j DROP

策略的設(shè)置多種多樣，默認(rèn)丟棄所有的包，結(jié)合各自的應(yīng)用需求，可以通過組合規(guī)則和模塊定制出適合自己應(yīng)用的策略，安全適用才是最好的,詳細(xì)的策略學(xué)習(xí)可以參考Iptables Howto，網(wǎng)上還有一些視頻教程。

5 實(shí)現(xiàn)Squid透明代理

squid是linux下非常著名的代理服務(wù)軟件，主要功能是屏蔽內(nèi)網(wǎng)機(jī)器，代理上網(wǎng)，控制內(nèi)網(wǎng)上網(wǎng)規(guī)則等，在實(shí)際應(yīng)用中可以結(jié)合 Iptables實(shí)現(xiàn)透明代理。Squid的代理端口是3128，所以首先要開啟內(nèi)網(wǎng) 3128 端口：“Iptables –A INPUT –I eth1 –p tcp –dport 3128 –j ACCEPT”；要實(shí)現(xiàn)透明代理就要把對80端口的所有請求動作自動的轉(zhuǎn)交給3128端口即Squid去處理：“Iptables –A FORWARD –s a.b.c.0/24 –I eth1 –p tcp–dport 80 –j REDIRECT –TO-port 3128”，這樣客戶端就不需要手工設(shè)置代理選項(xiàng)，由Iptables轉(zhuǎn)發(fā)自動完成，REDIRECT是一個(gè)模塊，在使用之前要確保此模塊要加載，也可以手工加載“insmod ipt_REDIRECT”。

6 透明條件下FTP的實(shí)現(xiàn)

FTP是網(wǎng)絡(luò)中一個(gè)重要的應(yīng)用，有時(shí)要訪問FTP服務(wù)，有時(shí)也要提供FTP服務(wù)，在實(shí)際應(yīng)用中FTP有兩種模式，一種是主動模式：客戶端從一個(gè)任意高端口N(N＞1024)連接到FTP服務(wù)器的命令端口，也就是21端口。然后客戶端開始監(jiān)聽端口N+1，并發(fā)送FTP命令“port N+1”到FTP服務(wù)器。接著服務(wù)器會從它自己的數(shù)據(jù)端口(20)連接到客戶端指定的數(shù)據(jù)端口(N+1)。另一種是被動模式：開啟一個(gè)FTP連接時(shí)，客戶端打開兩個(gè)任意的非特權(quán)本地端口(N ＞ 1024和N+1)。第一個(gè)端口連接服務(wù)器的21端口，但與主動方式的FTP不同，客戶端不會提交PORT命令并允許服務(wù)器來回連它的數(shù)據(jù)端口，而是提交PASV命令。這樣做的結(jié)果是服務(wù)器會開啟一個(gè)任意的非特權(quán)端口(P ＞ 1024)，并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務(wù)器的端口P的連接用來傳送數(shù)據(jù)。

由于高端口是隨機(jī)產(chǎn)生的，而在Iptables防火墻策略中高端口是不放行的，從安全角度考慮也不能放行所有的高端口。解決方法是指定一個(gè)高端口比如1025，這樣就要解決怎么把一個(gè)隨機(jī)的高端固定為一個(gè)端口，在Ftp客戶端軟件中可以通過設(shè)置Passive模式端口的范圍中實(shí)現(xiàn)(1025-1025)。

去掉顯示器、鍵盤、鼠標(biāo)等外設(shè)，安裝“HAP_SecureCRT”等終端仿真器，利用遠(yuǎn)程客戶端管理，一個(gè)功能強(qiáng)大的防火墻就成功了。

[1][EB/OL].http://www.squid-cache.org.

[2][EB/OL].http://www.iptables.net.cn.

[3]倪繼利.Linux安全體系分析與編程[M].北京:電子工業(yè)出版社.2007．

[4]施怡.使用iptables構(gòu)建Linux防火墻[J].福建電腦.2004.

[5]張秀嶺,萬旻,駱建彬,鄧憲.Linux下基于 Squid的多能代理系統(tǒng)與透明網(wǎng)關(guān)解決方案[J].微計(jì)算機(jī)應(yīng)用.2004.

[6]李洋,汪虎松.Red Hat Linux 9系統(tǒng)與網(wǎng)絡(luò)管理教程[M].北京:電子工業(yè)出版社.2006.

[7]梁子森,李曉軍,王志剛.基于Linux的Iptables共享上網(wǎng)及防火墻配置[J].計(jì)算機(jī)與現(xiàn)代化.2008.

[8]Michael Rash.陳健譯.Linux防火墻[M].北京:人民郵電出版社.2009.