iptables_防火墙技术研究及实现.doc

iptables防火墙技术研究及实现丁健 1，杨建良 21.武汉理工大学计算机科学与技术学院，武汉 (430070)2.武汉计算机外部设备研究所，武汉 (430070)E-mail：要：计算机网络的迅速发展给人类社会带来了前所未有的飞跃，极大的提高了工作效率，摘丰富了人们的精神生活，而与此同时也带来了一个日益严峻的问题-网络安全。防火墙作为一种行之有效的网络安全机制，已经得到广大用户的接受和认同。另一方面，网络应用的日益广泛使得各种不同的应用层协议不断涌现，这些协议在方便使用网络的同时也带了各种问题。例如 P2P协议在有多个用户同时进行下载的情况下会占用大量的网络资源，严重影响网络的正常服务。因此，如何识别这些协议并在需要的时候对其加以过滤具有很高的实用价值。作者在研究包过滤、代理服务、状态检测等防火墙基本实现技术的基础上，提出一种基于应用层协议过滤的 iptables防火墙解决方案。关键词：网络安全；防火墙；iptables；Layer7-filter中图分类号：TP393.4081. 引言随着互联网的飞速发展，社会的信息化程度不断提高，当资源共享广泛用于经济、政治、军事以及科学、生活的各个领域，网络的用户来自于社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护，这些数据在存储和传输的过程中，都有可能被盗用和篡改，计算机网络十分脆弱，它的安全性遭到破坏就要付出很高的代价 ,网络的安全问题成为信息化、网络化过程中必须解决的首要问题1,2。对于连接到网络上的 Linux系统来说，防火墙是必不可少的防御机制，它可以控制允许合法的网络流量进出系统，而禁止其它任何网络流量。在 Linux的防火墙体系 Netfilter下有一个基于数据流应用层内容过滤模块 Layer7-filter，它使用模式匹配把进入设备的数据包应用层内容与协议规则进行比对，如果匹配成功就说明这个数据包属于某种协议。本文简要介绍防火墙的工作方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点，在此基础上，提出一种基于应用层协议过滤的 iptables防火墙解决方案。2. 防火墙技术概述2.1防火墙的功能防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统 ,它对网络之间传输的数据包依照一定的安全策略进行检查 ,以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状态，并提供安全和审计的安装控制点，从而到达保护内部网络不受外部非授权用户访问，过滤不良信息的目的3。防火墙一般放在私网、信任网络和公网之间，当把本地网或内部网与外部网络或 Internet相连接的时候，最有效的保证网络安全的办法就是在它们之间加入防火墙，因此，从防火墙的功能来说，主要包含以下几个方面：1）过滤掉不安全服务和非法用户。2）控制对特殊站点的访问。3）提供监视 Internet安全和预警的方便端点4,5。- 1 -2.2防火墙技术的发展防火墙技术的发展经历了包过滤型、应用级网关（代理服务器型防火墙）和检测型三种基本类型。2.2.1包过滤型(Packet Filtering)技术包过滤技术事实上是基于路由器的技术，它通常由分组过滤路由器对 IP分组进行选择，允许或拒绝特定的分组通过。在网络层对数据包进行选择，选择的依据是每个数据包的源地址、目的地址、所用的端口号、协议等因素，或它们的组合来确定是否允许该数据包通过。包过滤的优点是配置简单，一个过滤路由器能协助保护整个网络，数据包过滤对用户透明，过滤路由器速度快、效率高6。包过滤防火墙具有根本的缺陷，其安全控制在网络层、传输层实现，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。2.2.2应用代理网关(Application Level Gateways)技术应用代理网关是在应用层上建立协议过滤和转发功能 ,安装在客户机与真实服务器之间。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP连接，应用层的协议会话过程必须符合代理的安全策略要求7。应用代理网关的优点是能生成各项记录，能灵活、完全地控制进出的流量、内容，能过滤数据内容，能为用户提供透明的加密机制，可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强，安全性高。应用代理网关的最大缺点就是速度相对比较慢，对于内网的每个 Web访问请求都需要开一个单独的代理进程，这样，应用代理的处理延迟会很大，内网用户的正常 Web访问不能及时得到响应，所以给系统性能带来了一些负面影响。而且代理防火墙缺少透明度，对网络性能有一定影响，对每一种应用服务都必须有特定的代理模块，实现起来比较困难8。2.2.3状态检测(state inspection)技术状态检测技术的创始者是以色列的 CheckPoint公司，结合包过滤防火墙和应用级网关防火墙的优点，克服了其不足之处9。状态检测防火墙判断允许还是禁止数据流的依据不仅仅是依靠源 IP地址，目的 IP地址，源端口，目的端口和通讯协议等数据包信息，采用基于连接的机制将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，监视每个连接发起到结束的全过程。它通过检查应用程序信息，来判断端口是否允许需要临时打开，当传输结束时，端口马上又恢复为关闭状态，完成对数据包的检测和过滤，最大限度地保证了网络的安全10,11。而且状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度，状态检测防火墙截取到数据包时，首先检查其是否属于状态表中某一有效连接，若是则说明该包所属的数据流已通过安全规则检查，从而不再需要进行规则检查，而只要检查其在数据流中的状态是否正确即可，这样避开了复杂的安全规则检查，可极大地提高防火墙的整体效率。- 2 -3. 基于应用层协议过滤的防火墙网络应用一般采用基于 TCP/UDP协议的并在应用层定义的各种新协议，它们有的是基于固定端口，有的是基于变端口，并从特定的服务器上获取有关信息提供服务。对于在 RFC文档中给出了定义的协议，我们可以通过固定的端口号进行识别，但是对于那些由企业或者网络用户开发并流行的协议，则很难用端口进行识别，再加上近年来很多应用都可以通过http端口 80进行(如 webmail) ，这使得对数据包的识别率大大降低。如果无法对其有效的进行控制，会带来各种负面的影响，例如员工上班时间利用即时通讯工具诸如 QQ、MSN聊天，游戏、炒股、或者浏览不健康网站、进行 BT下载等。显然，采取措施解决上述问题非常具有现实意义和使用价值。Device driver(Input)Device driver(Output)NF_IP_PREROUTING NF_IP_POSTROUTING ROUTINGROUTINGNF_IP_FORWARD NF_IP_LOCAL_IN NF_IP_LOCAL_OUT Higher Layers图 1 Netfilter/iptables信息包过滤流程图图 1为 netfilter/iptables的信息包过滤流程图，Netfilter是嵌入内核网络协议栈的一系列调用入口，设置在报文处理的路径上，用户可以通过 iptables进行配置，构建自己的规则，这些规则存储在内核空间的信息包过滤表中。这些规则具有目标，它们告诉内核对来自某些源、前往某些目的