防火墙应用二

8.4.4　Linux防火墙应用二

(1)应用背景

某公司网络租用DDN专线连入互联网。公司的网络管理员为了保护公司网络系统及信息资源的安全，需要在防火墙上设置网络访问规则，要求公司的主机只能访问外部www服务，公司内部Web、FTP和Email服务器能被外部主机访问，服务器的IP地址使用合法IP，分别为222.17.10.110/24，222.17.10.111/24，222.17.10.112/24。网络拓扑如图8－2，其中防火墙使用Linux防火墙，通过iptables配置过滤规则，除了满足上面正常访问要求外，还能对网络上的简单攻击进行有效防范，如IP碎片攻击。

图8－2

(2)配置步骤

第一步，配置禁止转发任何包的策略(Policy)，当接收到的数据包不在已定义规则之内时，则该封包的通过与否，以Policy的设定为准。毫无疑问，不符规则的数据包，被认为是有问题的数据，禁止转发!下面的命令给出了禁止转发任何包的策略(Policy)的另一种配置:

iptables－P FORWRD DROP

－P指定了这条命令就是配置一个策略。该策略禁止转发任何数据包。

第二步，配置关于www服务的规则。不仅要让内部主机能访问外部Web服务器，内部Web服务222.17.10.110/24同样允许被外部主机访问。www服务端口为80，采用tcp或udp协议。规则为:eth1接口允许目的为内部网Web服务器的包。

iptables－A FORWARD－p tcp－d 222.17.10.110－－dportwww－i eth1－j ACCEPT

第三步，配置关于ftp服务的规则。FTP服务需要两个端口，因为FTP有命令通道和数据通道。其中命令端口为21，数据端口为20，并且有主动和消极两种服务模式，其消极模式连接过程为:FTP客户端首先向FTP服务器发起连接请求，三次握手后建立命令通道，然后由FTP服务器请求建立数据通道，成功后开始传输数据，现在大多数FTP客户端均支持消极模式，因为这种模式可以提高安全性。FTP服务采用tcp协议。规则为:eth1接口仅允许目的为内部网FTP服务器的包。

iptables－A FORWARD－p tcp－d 222.17.10.111－－dport ftp－i eth1－j ACCEPT

第四步，配置关于EMAIL服务的规则。EMAIL服务包含两个协议，分别是smtp和pop3。出于安全性考虑，通常只提供对内的pop3服务，所以在这里只考虑针对smtp的规则。smtp端口为21，采用tcp协议。eth1接口仅允许目的为email服务器的smtp请求。

iptables－A FORWARD－p tcp－d 222.17.10.112－－dport smtp－i eth1－j ACCEPT

第五步，配置关于内部网用户的过滤规则。在本例中的防火墙位于网关的位置，主要是防止来自Internet的攻击，不能防止来自内部网的攻击。假如公司的服务器都是基于Linux的，也可以在每一部服务器上设置相关的过虑规则来防止来自内部网的攻击。对于Internet对内部网客户的返回包，定义如下规则。

iptables－A FORWARD－p tcp－s0/0－－sport ftp－data－d 222.17.10.0/24－i eth1－j ACCEPT

iptables－A FORWARD－p tcp－d 222.17.10.0/24!－syn－i eth1－j ACCEPT

iptables－A FORWARD－p udp－d 222.17.10.0/24－i eth1－j ACCEPT

第一条规则允许内部网客户采用消极模式访问互联网的FTP服务器;第二条规则接收来自互联网的非连接请求tcp包;最后一条规则接收所有udp包。

第六步，配置关于允许转发内部数据包的规则。eth0接受源自整个内部网的数据包。

iptables－A FORWARD－s 222.17.10.0/24－i eth0－j ACCEPT

第七步，配置处理IP碎片包的规则。接受所有的IP碎片，但采用limit扩展匹配参数对单位时间可以通过的IP碎片数量进行限制，以防止IP碎片攻击。

iptables－A FORWARD－f－m limit－－limit100/s－－limit－burst100－j ACCEPT

该规则表明对不管来自哪里的ip碎片都进行限制，允许每秒通过100个IP碎片，该限制触发的条件是100个IP碎片。

第八步，配置ICMP协议包过滤的规则。icmp包通常用于网络测试等，故允许所有的icmp包通过。但是黑客常常采用icmp进行攻击，如死亡之PING等，所以采用limit扩展匹配参数加以限制:

iptables－A FORWARD－p icmp－m limit－－limit1/s－－limit－burst10－j ACCEPT

该规则表明对不管来自哪里的icmp包都进行限制，允许每秒通过一个包，该限制触发的条件是10个包。

通过以上八个主要步骤，建立了一个相对完整的防火墙。只对外开放了有限的几个端口，同时提供了客户对互联网的无缝访问，并且对IP碎片攻击和基于ICMP的死亡之PING攻击提供了有效的防护手段。为了提高管理的效率，日后维护方便，可以将上面的内容写成脚本，方便维护。脚本编制如下: