基于Linux系统的包过滤防火墙

包过滤防火墙是用一个软件查看所流经的数据包的包头(header)，由此决定整个包的命运。它可能会决定丢弃(DROP)这个包，可能会接受(ACCEPT)这个包(让这个包通过)，也可能执行其它更复杂的动作。

第1 章、基于路由器的包过滤防火墙

1.1 包过滤防火墙的一般概念

1.1.1 什么是包过滤防火墙

包过滤防火墙是用一个软件查看所流经的数据包的包头(header)，由此决定整个包的命运。它可能会决定丢弃(DROP)这个包，可能会接受(ACCEPT)这个包(让这个包通过)，也可能执行其它更复杂的动作。

在Linux系统下,包过滤功能是内建于核心的(作为一个核心模块，或者直接内建)，同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。

1.1.2 包过滤防火墙的工作层次

包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。

1.1.3 包过滤防火墙的工作原理

(1)使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。

数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：

* IP源地址

* IP目标地址

* 协议(TCP包、UDP包和ICMP包)

* TCP或UDP包的源端口

* TCP或UDP包的目标端口

* ICMP消息类型

* TCP包头中的ACK位

* 数据包到达的端口

* 数据包出去的端口

在TCP/IP中，存在着一些标准的服务端口号，例如，HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。

(2)过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。

普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。

过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

路由器的过滤策略主要有：

* 拒绝来自某主机或某网段的所有连接。

* 允许来自某主机或某网段的所有连接。

* 拒绝来自某主机或某网段的指定端口的连接。

* 允许来自某主机或某网段的指定端口的连接。

* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。

* 允许本地主机或本地网络与其它主机或其它网络的所有连接。

* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。

* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。

1.1.4 包过滤器操作的基本过程

下面做个简单的叙述：

(1)包过滤规则必须被包过滤设备端口存储起来。

(2)当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。

(3)包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。

(4)若一条规则阻止包传输或接收，则此包便不被允许。

(5)若一条规则允许包传输或接收，则此包便可以被继续处理。

(6)若包不满足任何一条规则，则此包便被阻塞。

1.1.5 包过滤技术的优缺点

(1)优点：

→对于一个小型的、不太复杂的站点，包过滤比较容易实现。

→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。

→过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。

→过滤路由器在价格上一般比代理服务器便宜。

(2)缺点：

→一些包过滤网关不支持有效的用户认证。

→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。

→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。

→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。

虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备(如堡垒主机等)联合使用。

1.2　Netfilter/iptables架构

1.2.1 Linux下的包过滤防火墙管理工具

从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段：

→ 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。

→ 在2.2的内核中，采用ipchains来控制内核包过滤规则。

→ 在2.4内核中，采用一个全新的内核包过滤管理工具—iptables.

Linux因其健壮性、可靠性、灵活性以及几乎无限范围的可定制性而在IT界变得非常受欢迎。Linux具有许多内置的能力，使开发人员可以根据自己的需要定制其工具、行为和外观，而无需昂贵的第三方工具。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，所要用到的一种内置能力就是针对网络上Linux系统的防火墙配置。可以在Netfilter/iptablesIP信息包过滤系统(它集成在2.4.x版本的Linux内核中)的帮助下运用这种能力。Netfilter/iptables是与最新的2.4.x版本Linux内核集成的IP信息包过滤系统。