祝 虹，吉承平

（揚(yáng)州職業(yè)大學(xué) 江蘇 揚(yáng)州 225009）

隨著因特網(wǎng)的快速發(fā)展，IP地址的匱乏及網(wǎng)絡(luò)安全等問題日益突出。NAT技術(shù)提供了一種解決網(wǎng)絡(luò)內(nèi)多臺(tái)計(jì)算機(jī)共享一個(gè)公共IP地址，就能與 Internet互聯(lián)的問題，緩解了IP地址資源匱乏，節(jié)省了公網(wǎng) IP地址；同時(shí)，NAT還具有防火墻的功能，通過NAT設(shè)置，可以對(duì)外部網(wǎng)絡(luò)隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，限制從外網(wǎng)到內(nèi)網(wǎng)的非授權(quán)訪問，維持了局域網(wǎng)的私密性，增加網(wǎng)絡(luò)的安全性，減少非法用戶通過Internet入侵內(nèi)部網(wǎng)絡(luò)的機(jī)會(huì)[1-5]。

文中在Linux系統(tǒng)下，詳細(xì)闡述了如何設(shè)置基于NAT的防火墻，從準(zhǔn)備工作開始，逐步定義規(guī)則，到提供有狀態(tài)服務(wù)，編輯及運(yùn)行Shell腳本，最后進(jìn)行檢驗(yàn)NAT防火墻的作用和效果。

1 NAT技術(shù)的原理

所謂NAT技術(shù)就是網(wǎng)絡(luò)地址轉(zhuǎn)換[6]，這種轉(zhuǎn)換通常發(fā)生在內(nèi)部網(wǎng)絡(luò)的自定義IP地址（不需要經(jīng)過申請(qǐng)）即假的IP地址的電腦和外部通訊時(shí)，通過網(wǎng)絡(luò)中的NAT網(wǎng)關(guān)，把內(nèi)部IP地址翻譯成外部合法地址后傳送到外部網(wǎng)絡(luò)。同樣，由外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)，也經(jīng)過相同的過程。

NAT技術(shù)的基本原理就是通過一個(gè)外部地址或幾個(gè)外部地址轉(zhuǎn)換成局域網(wǎng)的內(nèi)部地址來實(shí)現(xiàn)內(nèi)部的所有主機(jī)訪問Internet[7-8]。NAT技術(shù)是把TCP和UDP以及ICMP等的一部分信息通過透明中繼，而TCP/IP在NAT網(wǎng)關(guān)上運(yùn)行的軟件與其他的普通網(wǎng)關(guān)軟件不一樣，一般來講，普通的路由器是根據(jù)IP包中的目的地址和路由表將IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)發(fā)送到另一個(gè)網(wǎng)絡(luò)，而NAT技術(shù)的IP數(shù)據(jù)包傳送并非憑借目的IP地址，它的NAT網(wǎng)關(guān)是內(nèi)網(wǎng)與外網(wǎng)Internet之間一種幀中繼IP數(shù)據(jù)包轉(zhuǎn)換，并且它的中繼是面向連接的，如圖1所示。

從NAT改變封包的地址類型來看，NAT可以分為兩種：Source NAT （SNAT）與 Destination NAT （DNAT）。 NAT 規(guī)則的表格含有3個(gè)列表叫做 ‘chains’：每一條規(guī)則都按順序檢查﹐直到找到一個(gè)相符的比對(duì)。具體流程如圖2所示。

2 Linux系統(tǒng)下打造NAT防火墻的方案分析

NAT作為防火墻具有以下優(yōu)勢(shì)：

1）NAT可以作為過濾器，限制內(nèi)網(wǎng)與外網(wǎng)的連接。當(dāng)端口地址在NAT內(nèi)動(dòng)態(tài)分配時(shí)，NAT域中特定主機(jī)被外網(wǎng)攻擊比較困難。

圖1 NAT在內(nèi)部網(wǎng)絡(luò)LAN和外部網(wǎng)絡(luò)WAN之間中繼IP數(shù)據(jù)報(bào)的連接Fig.1 NAT between the internal network LAN and external networks WAN connection of the relay IP datagrams

圖2 NAT通信過程Fig.2 NAT communciationn process

2）將NAT設(shè)備和應(yīng)用網(wǎng)關(guān)結(jié)合起來，NAT可以具有透明路由的功能。這樣可以對(duì)應(yīng)用層中含有IP地址的信息進(jìn)行翻譯，確保數(shù)據(jù)報(bào)中不出現(xiàn)私有地址的信息。

3）NAT設(shè)備是作為因特網(wǎng)主機(jī)存在的，容易受到外來攻擊，如Ping Flood、SYN Flood。在Linux系統(tǒng)下打造NAT防火墻，可以對(duì)NAT設(shè)備進(jìn)行保護(hù)。

4）當(dāng)NAT設(shè)備處于不安全域中時(shí)，應(yīng)用級(jí)的負(fù)載可以實(shí)現(xiàn)端對(duì)端的加密，這樣負(fù)載中就不會(huì)包含運(yùn)輸層的端口信息、IP地址信息，提高網(wǎng)絡(luò)安全性。

3 基于Linux的NAT防火墻的實(shí)現(xiàn)與應(yīng)用實(shí)例

3.1 設(shè)置準(zhǔn)備

1）基本思路 首先需要在Linux系統(tǒng)中創(chuàng)建基于NAT防火墻，它必須能夠在服務(wù)器或路由器上運(yùn)行，其功能就是只允許某些類型的通訊數(shù)據(jù)流通過，在配置防火墻時(shí)，為增強(qiáng)其安全性，必須設(shè)置能刪除或者拒絕對(duì)安全性有威脅的通訊數(shù)據(jù)流。

2）Linux系統(tǒng)內(nèi)核配置 安裝之后，“iptables”命令便可使用進(jìn)入 /usr/src/linux，輸入 “make menuconfig”或“make xconfig”；并啟用一些內(nèi)核的網(wǎng)絡(luò)功能。

3）配置鏈策略 “iptables-P”命令用于設(shè)置鏈的缺省目標(biāo)和包過濾規(guī)則策略，INPUT是一個(gè)內(nèi)置鏈，iptables-P I NPUT DROP命令將INPUT鏈的缺省目標(biāo)指定為DROP，告訴內(nèi)核應(yīng)刪除或丟棄所有與INPUT規(guī)則鏈中都不匹配的信息包。規(guī)則是先拒絕所有信息包，然后再允許所需要的信息包。

由于該項(xiàng)目為滁河兩側(cè)堤頂路周邊的景觀設(shè)計(jì)，因此其防浪墻成為該項(xiàng)目出現(xiàn)頻率最多的一個(gè)元素，作為左岸項(xiàng)目的一大亮點(diǎn)，為了對(duì)與六合老城區(qū)以及河對(duì)岸的景觀帶形成對(duì)比，此次防浪墻采用異型混凝土塑形，每一段的造型都經(jīng)過二次深化設(shè)計(jì)，各不相同。

3.2 定義規(guī)則

同時(shí)，要為有兩個(gè)網(wǎng)絡(luò)接口 eth0和eth1的機(jī)器設(shè)計(jì)防火墻。eth0連接到內(nèi)部網(wǎng)絡(luò)，使用私有地址192.168.1.0/16。而eth1連接到通過局域網(wǎng)與因特網(wǎng)進(jìn)行連接。添加以下命令：

iptables-P INPUT DROP

iptables-A INPUT-i!eth1-j ACCEPT

這行附加的 ＂iptables-A＂將一個(gè)新的包過濾規(guī)則添加到 INPUT鏈的末端。添加此規(guī)則之后，INPUT鏈就包含了一個(gè)規(guī)則和缺省刪除策略。現(xiàn)在，讓我們看一下當(dāng)前防火墻有什么功能。

3.3 設(shè)置有狀態(tài)防火墻

與其在基于靜態(tài)協(xié)議特征的防火墻上開一個(gè)洞，還不如使用Linux新的連接跟蹤功能來使防火墻根據(jù)包的動(dòng)態(tài)連接狀態(tài)做出判定。conntrack通過將每個(gè)包與一個(gè)獨(dú)立的雙向通信信道或連接相關(guān)聯(lián)來進(jìn)行判定。

第一種連接狀態(tài)叫作NEW。

第二種連接狀態(tài)是：ESTABLISHED狀態(tài) 就是指建立連接，表示正在通訊。

最后的狀態(tài)是：INVALID狀態(tài)。INVALID包是指不屬于ESTABLISHED、NEW、RELATED 3種類別，通常將其視為惡意的數(shù)據(jù)包而丟棄。但它不會(huì)被自動(dòng)丟棄；需要插入適當(dāng)?shù)囊?guī)則，并設(shè)置鏈策略，以便正確處理這些數(shù)據(jù)包。

3.4 改進(jìn)有狀態(tài)防火墻

明確關(guān)閉ECN:前面提到過應(yīng)當(dāng)關(guān)閉 ECN（明確擁塞通知），以便因特網(wǎng)通信可以正確工作。但由于種種原因，有可能會(huì)啟用了 ECN。由于這些原因，最好使用 /proc接口來明確禁用 ECN，處理拒絕。

目前，已經(jīng)刪除了所有來自因特網(wǎng)的未經(jīng)請(qǐng)求的通信流。這樣可以阻止討厭的網(wǎng)絡(luò)活動(dòng)，但是它有一些缺點(diǎn)。這種方法最大的問題是闖入者很容易就可以檢測(cè)到我們正在使用防火墻，因?yàn)槲覀兊臋C(jī)器沒有應(yīng)答標(biāo)準(zhǔn) TCP復(fù)位和 ICMP端口不可到達(dá)響應(yīng)，因?yàn)橄蛞话銠C(jī)器發(fā)送會(huì)響應(yīng)，用于表示對(duì)不存在服務(wù)的連接失敗。

3.5 提供有狀態(tài)服務(wù)

雖然我們要接受一些進(jìn)入連接，但我們可能并不想接受所有進(jìn)入連接。最好從“缺省拒絕”策略開始（就象我們現(xiàn)在使用的策略），逐漸開放對(duì)那些希望人們可以連接的服務(wù)的訪問，如 HTTP，SSH，F(xiàn)TP 等。

3.6 編輯及運(yùn)行防火墻腳本

以上詳細(xì)介紹了防火墻的整個(gè)配置過程，如果要停止防火墻，使用“iptables-FINPUT”將清除 INPUT 鏈，然后使用“iptables-P INPUT ACCEPT”命令使缺省 INPUT策略切換回 ACCEPT；用“iptables-t nat-F POSTROUTING”命令清除NAT規(guī)則。

如果使用這個(gè)腳本，先修改腳本的權(quán)限，輸入”chmod 777 firewall”命令使之具有可執(zhí)行權(quán)限，然后可以通過輸入“/bin/firewall stop”來停止防火墻，通過輸入 ＂/bin/firewall start＂再啟動(dòng)它。

3.7 檢驗(yàn)防火墻及NAT

編輯完防火墻腳本后，我們將分別檢驗(yàn)防火墻及NAT是否生效。

啟動(dòng)防火墻前，通過IP地址為202.194.68.55的主機(jī)可以“ping”到我們的機(jī)器，同時(shí)，我們也可以“ping”到對(duì)方。當(dāng)啟動(dòng)防火墻后，輸入“iptables-L”命令，可以看到我們想要的防火墻規(guī)則均已顯示出來了；輸入“iptables-L-t nat”命令，可以顯示出我們的 NAT配置。此時(shí)，對(duì)方已經(jīng)無法“ping”到我們的主機(jī)，而我們可以“ping”到對(duì)方，這說明防火墻已經(jīng)生效。

4 需要改進(jìn)之處

在以上的設(shè)計(jì)中，我們是通過對(duì)Linux操作系統(tǒng)下iptables命令的操作來完成NAT防火墻設(shè)置的。但由于iptables有許多表和鏈，在大多數(shù)報(bào)文經(jīng)過這些表和鏈的規(guī)則時(shí)，則會(huì)明顯的降低防火墻的響應(yīng)速度，使得防火墻的吞吐能力打大折扣，因此，在實(shí)踐中需要通過與代理服務(wù)防火墻結(jié)合使用來提高其安全性能，當(dāng)然如在本系統(tǒng)之前使用硬件防火墻與之配合，就能有效防止DDOS攻擊和端口映射，加上Linux的NAT防火墻在對(duì)報(bào)文的處理時(shí)，盡可能減少報(bào)文平均經(jīng)過規(guī)則的數(shù)量的方法來優(yōu)化防火墻的性能，這樣就能建立起一套相對(duì)完整的防火墻系統(tǒng)，以實(shí)現(xiàn)對(duì)系統(tǒng)的全方位的防護(hù)。

5 結(jié)束語

Linux操作系統(tǒng)下的iptables可以編寫功能強(qiáng)大的防火墻，能按照系統(tǒng)設(shè)定的安全策略對(duì)防火墻進(jìn)行過濾，具有配置方便、運(yùn)行速度快、系統(tǒng)功能強(qiáng)大等優(yōu)點(diǎn)，但也存在一些缺點(diǎn)，需進(jìn)一步完善其功能和優(yōu)化，最好采用混合防火墻來保證內(nèi)部網(wǎng)絡(luò)安全。