快速部署透明式防火墻

對(duì)于普通的Linux防火墻來說，其往往采用的是路由模式。即在Linux防火墻主機(jī)上設(shè)置兩塊網(wǎng)卡，分別擁有獨(dú)立的IP，用來連接內(nèi)網(wǎng)和外網(wǎng)。因此，黑客在對(duì)其進(jìn)行攻擊時(shí)，就有了明確的目標(biāo)。

另外，在企業(yè)網(wǎng)絡(luò)環(huán)境中，有時(shí)可能根據(jù)需要對(duì)防火墻設(shè)備進(jìn)行調(diào)整（例如添加新的防火墻，連接VLAN等），這就必然涉及到對(duì)相關(guān)的網(wǎng)絡(luò)配置進(jìn)行更改，調(diào)整防火墻規(guī)則，修改與IP設(shè)置相關(guān)的參數(shù)等，在實(shí)際工作中操作起來是很繁瑣的。如果使用透明式防火墻，就可以輕松解決以上問題。

將Linux主機(jī)配置為網(wǎng)橋設(shè)備，并配合防火墻模塊，就可以將其變成透明式防火墻。其使用的不是路由模式而是橋接模式，屬于OSI網(wǎng)絡(luò)層級(jí)中的第二層的網(wǎng)絡(luò)設(shè)備，因此不必在網(wǎng)絡(luò)接口上設(shè)置IP。對(duì)于以太網(wǎng)來說，網(wǎng)橋設(shè)備不會(huì)隔斷廣播數(shù)據(jù)包發(fā)送。例如網(wǎng)橋設(shè)備連接了三個(gè)實(shí)體網(wǎng)段，對(duì)于某個(gè)網(wǎng)段實(shí)體內(nèi)的兩臺(tái)主機(jī)之間的單播數(shù)據(jù)傳輸來說，網(wǎng)橋設(shè)備禁止其傳送給別的實(shí)體網(wǎng)段。當(dāng)一個(gè)實(shí)體網(wǎng)段中的主機(jī)向另一個(gè)實(shí)體網(wǎng)段中的某臺(tái)主機(jī)進(jìn)行單播數(shù)據(jù)傳輸時(shí)，網(wǎng)橋設(shè)備不會(huì)將數(shù)據(jù)包傳輸?shù)狡渌膶?shí)體網(wǎng)段中。透明式防火墻可以在不改變?cè)芯W(wǎng)絡(luò)環(huán)境配置的情況下，輕松部署到網(wǎng)絡(luò)中的任何位置。

因?yàn)橥该魇椒阑饓o需設(shè)置IP，所以擁有了很好的隱蔽性。對(duì)于黑客來說，無法感覺到透明式防火墻的存在，造成了黑客無法確定需要攻擊的目標(biāo)究竟存在何處。在Linux中已經(jīng)引入了網(wǎng)橋機(jī)制，執(zhí)行“yum install bridge-utils”命令，安裝網(wǎng)橋管理工具。例如，在Linux網(wǎng)橋主機(jī)上設(shè)置兩塊網(wǎng)卡，分別連接IP為 10.0.1.10的 PC1，IP為10.0.10.20的 PC2。 這 樣，雖然兩臺(tái)主機(jī)處于同一實(shí)體網(wǎng)段，但是因?yàn)楸籐inux網(wǎng)橋主機(jī)隔離，是無法直接通訊的。只有將Linux網(wǎng)橋主機(jī)配置為網(wǎng)橋設(shè)備，才可以正常通訊。使用VI命令，打開“/etc/sysconfig/network-scripts/ifconfig-eth0”文 件，在其 中 設(shè) 置“DEVICE=eth0”、“ONBOOT=yes”、“BOOTPROTO=static”、“HWADDR=xx.xx.xx.xx.xx.xx”。

對(duì) 應(yīng) 的，打 開“/etc/sysconfig/networkscripts/ifconfigeth1”文 件，在 其 中 設(shè)置“DEVICE=eth1”、“ONBOOT=yes”、“BOOTPROTO=static”、“HWADDR=xx.xx.xx.xx.xx.xx”。其中的“HWADDR”參數(shù)分別設(shè)置兩塊網(wǎng)卡的MAC地址。執(zhí)行“echo 1 > /proc/sys/net/ipv4/ip_forward”命令，啟用數(shù)據(jù)包轉(zhuǎn)發(fā)功能，允許數(shù)據(jù)包在eth0和eth1接口之間傳送。執(zhí)行“brctl addbr br0”命令，添加一個(gè)名為“br0”的虛擬網(wǎng)橋接口。執(zhí)行“brctl addif br0 eth0”和“brctl addif br0 eth1”命令，將eth0和eth1兩個(gè)網(wǎng)絡(luò)接口合并為一個(gè)網(wǎng)橋設(shè)備。執(zhí)行“ifconfig br0 up”命令，啟動(dòng)名為“br0”的虛擬網(wǎng)橋接口。這樣，該Linux網(wǎng)橋主機(jī)配置為網(wǎng)橋設(shè)備，兩邊的主機(jī)PC1和PC2就可以正常通訊了。為了避免出現(xiàn)廣播風(fēng)暴導(dǎo)致網(wǎng)絡(luò)擁堵，可以執(zhí)行“brctl stp br0 on”命令，啟用網(wǎng)橋設(shè)備的STP（Spanning Tree Protoco，生成樹協(xié)議）機(jī)制，來有效解決廣播風(fēng)暴問題。

在網(wǎng)橋設(shè)備上配合NetFilter防火墻模塊，才可以構(gòu)建透明防火墻。在OSI網(wǎng)絡(luò)層級(jí)中，NetFilter不僅可以工作在第三層，其實(shí)也可以運(yùn)行在第二層。在主流的Linux中，是無需進(jìn)行額外配置的。注意，對(duì)網(wǎng)橋設(shè)備中NetFilter防火墻來說，其只能識(shí)別網(wǎng)橋接口，而無法識(shí)別以太網(wǎng)接口的。例如，如果想攔截PC2對(duì)PC1的PING探測(cè)，執(zhí)行“iptables-A FORWARD -i eth1 -o eth0 -p icmp -j DROP”，在“Filter”表中的“FORWARD”鏈中添加一條攔截規(guī)則，假設(shè)PC1連接到eth0接口，PC2連接到eth1接口。但是，該規(guī)則是無效的，因?yàn)榫W(wǎng)橋設(shè)備上的NetFilter是無法識(shí)別以太網(wǎng)接口的。只有執(zhí)行“iptanles -A FORWARD-m physdev --physdev-in eth1 -p icmp -j DROP”命令，添加一條規(guī)則，才可以禁止ICMP數(shù)據(jù)包從eth1接口進(jìn)入。其中的“-m physdev”參數(shù)表示使用“physdev”模塊，“--physdev-in”參數(shù)表示匹配進(jìn)入網(wǎng)橋?qū)嶋H接口的數(shù)據(jù)包，對(duì)應(yīng)的“--physdevout”參數(shù)表示匹配從網(wǎng)橋?qū)嶋H接口發(fā)出的數(shù)據(jù)包。

例如，在某企業(yè)網(wǎng)擁有 61.xxx.xxx.10，61.xxx.xxx.20，61.xxx.xxx.30 三個(gè)公網(wǎng)IP，NAT主機(jī)使用的IP為 61.xxx.xxx.10，企 業(yè) 內(nèi)網(wǎng)通過多對(duì)一的映射機(jī)制，通過該NAT設(shè)備訪問外網(wǎng)，該企業(yè)的Web和FTP服務(wù)器分別使用的IP為61.xxx.xxx.20 和 61.xxx.xxx.30。為了控制對(duì)Web和FTP服務(wù)器的訪問，在其和NAT主機(jī)之間設(shè)置一臺(tái)Linux主機(jī)作為透明防火墻。我們只允許來自NAT主機(jī)的數(shù)據(jù)包通過透明防火墻訪問Web和FTP服務(wù)器。為此可以在Linux透明防火墻上執(zhí)行“iptables -t filter -F”命令，清除Filter表中的所有規(guī)則。

執(zhí) 行“iptables –A FORWARD -m physdev--physdev-ineth0-mstate --state ESTABLISHED,RELATED –J ACCEPT”命令，在“Filter”表中的“FORWARD”鏈中創(chuàng)建一條規(guī)則，允許已經(jīng)建立的以及由其產(chǎn)生和關(guān)聯(lián)的網(wǎng)絡(luò)連接通過透防火墻的eth0接口進(jìn)入，來訪問Web和FTP服務(wù)器。這里假設(shè)透明防火墻的eth0接口連接NAT主機(jī)，eth1接 口 連 接 Web和FTP服務(wù)器。

其 中 的“-m state”參數(shù)表示使用State模塊，用來檢測(cè)數(shù)據(jù)包的狀態(tài)。“ESTABLISHED” 參 數(shù)表示對(duì)已經(jīng)建立的連接放行，“RELATED”參 數(shù) 對(duì) 相關(guān)聯(lián)的網(wǎng)絡(luò)連接放行。執(zhí)行“iptable -A FORWARD-m physdev --physdev-in eth0 -m mac -mac-source xx:xx:xx:xx:xx:xx –j ACCEPT”命令，創(chuàng)建一條規(guī)則，允許來自NAT主機(jī)的數(shù)據(jù)包通過該透明防火墻。其中的“-m mac”參數(shù)表示使用MAC地址檢測(cè)模塊，“–macsource xx:xx:xx:xx:xx:xx”參數(shù)表示只針對(duì)NAT主機(jī)的MAC地址產(chǎn)生的網(wǎng)絡(luò)連接 放 行。 執(zhí) 行“iptable-A FORWARD -m physdev--physdev-in eth0 –p tcp-syn -d 61.xxx.xxx.20 -m multiport -dports 80,443-m state –state NEW –j ACCEPT”命令，創(chuàng)建一條規(guī)則。

該規(guī)則對(duì)于訪問目的IP為 61.xxx.xxx.20，目 標(biāo)端口為80和443的第一條TCP網(wǎng)絡(luò)連接放行，其中的“-p tcp -syn”參數(shù)表示針對(duì)的是TCP的首條網(wǎng)絡(luò)連接，“-state NEW”參數(shù)表示連接狀態(tài)為新的連接。因?yàn)閃eb服務(wù)器可以提供普通的80端口，還可提供用于加密連接的443端口。所以對(duì)這兩個(gè)端口的訪問都需要放行。

執(zhí) 行“iptable –A FORWARD -m physdev--physdev-in eth0 –p tcp–syn –d 61.xxx.xxx.30-m multiport -dports 21.22,989,990 -m state-state NEW -j ACCEPT”命令，創(chuàng)建一條規(guī)則，對(duì)于訪問目 的 IP為 61.xxx.xxx.30，目標(biāo)端口為 21、22、989、990的第一條TCP網(wǎng)絡(luò)連接放行，因?yàn)镕TP連接包括普通連接和加密連接，可能使用到這些端口。執(zhí)行“iptable-A FORWARD -m physdev--physdev-in eth0 -j DROP”命令，創(chuàng)建一條規(guī)則，對(duì)其余的網(wǎng)絡(luò)連接進(jìn)行攔截。