理解防火墙及防火墙实例系列:部分2
宫一鸣 (yiming@security.zz.ha.cn)中国电信网络安全小组核心成员
2003 年 01 月
这是理解防火墙文章的第二部分,这一部分将通过实例ipfilter软件的介绍来进一步讨论关于防火墙的几个方面的内容,从而深化读者对防火墙的认识和理解。第一部分中的一些基本概念在这里可以对照来看,以便更好的理解。
一:哪些环节需要考虑?
在开始讲述ipfilter以前,有个问题是值得思索的:在防火墙的整个实现过程中,管理员都有哪些环节需要考虑?能够安装防火墙,并让防火墙正常运行起来其实绝非管理员的全部工作。在事关防火墙的全部环节中,有下面几个应该加以考虑的要点:
1. 防火墙的功能
这是防火墙实现的最基本的要求,包括两个方面:
首先,也是经常意义上的理解:就是说防火墙是不是提供了必需的功能,如协议分析,地址转换,流量控制,vpn,过滤定制等,无需多讲;
其次,防火墙的关键功能是否被管理员全面认识:在很大意义上这将直接决定防火墙能否工作在一个比较高的水平上。只有管理员能够站在一个比较高的层次上来认识,配置和管理防火墙,防火墙才可能发挥最大的作用。
2. 你的防火墙在做什么,测试它
包括四个方面:
1. 一个经过仔细配置的的防火墙,可能并不一定会按照管理员的设想顺利工作,一方面可能管理员认为非常完美的配置存在着不容易看出来的差错,另一个非常有可能的情况就是管理员完全错误的理解了一些特定的内容,比如错误的访问控制列规则、first match和last match的不同、混淆了特殊的子网掩码写法等等,这会直接导致和设计思路完全相悖的结果。
2. 如有可能,管理员最好能够深入防火墙的内部,去观察和跟踪防火墙的工作状态,比如防火墙对数据包是怎么处理的,防火墙所维护的状态表里面有什么内容,某些要求的功能是如何实现的,防火墙在做这些工作的时候资源消耗情况都是如何等等。
3. 管理员必须仔细的考察正在使用,或者可能使用的功能模块,考察这些模块的工作原理,考察这些模块是不是按照你理解和希望的方式工作。一个很好的例子就是:如果防火墙内嵌ids模块,而且ids和防火墙的访问控制联动开关默认是自动打开的,那么一旦ids不能够很好的实现"基于连接"的判断,那么这个糟糕的默认功能会很容易被攻击者利用,通过发送伪造的攻击数据包来使防火墙扮演中断和正常站点的连接的罪魁祸首。
4. 无论配置看起来多么简单明了,都要尽可能的去实际测试你的配置,常见的手段都是利用一些特别的软硬件。但是如果对网络安全要求非常高,那么应该考虑将防火墙放置到与被保护网络类似的真实网络环境中(对防火墙而言,看到的都是真实的数据流),然后在防火墙以外尝试对防火墙保护的系统攻击-请注意,此时攻击的数据包是夹杂在真实的数据流中,看防火墙是否如预期的相应,个人认为尤其在配置能够对高层协议和应用进行访问控制的防火墙时,这一点尤其重要。
3. 防火墙的弱点
不要相信万无一失的防火墙,不要相信本身没有安全隐患的防火墙。有的时候,防火墙某些模块的工作指标和销售告诉你的是不同的,但这可能也是正常的,作为系统管理员,你必须正视这一点。
具体到防火墙的选择上,checkpoint,netsceen,pix等知名的商用产品当然不错,但是对资金有限的中小型企业,个人用户,很可能这些价格不菲的产品根本无法考虑,怎么办?
对上面的这些用户而言,没有关系,我们还有open source的软件可以使用,这种软件是无需付费的,但是,如果使用得当,这些软件和昂贵的商用产品没有非常明显的差别,一个很好的例子就是本文讲的ipfilter。
二:ipfilter介绍
在本文的第一部分中我们定义了几个基本的防火墙类型,大家可以回忆一下基于状态的包过滤防火墙的概念,ipfilter就是属于基于状态的一类软件防火墙,它可以工作在freebsd、openbsd、hpunix、solaris、 irix等多种unix平台上,ipfilter的主页在网址http://coombs.anu.edu.au/~avalon/ip-filter.html,目前的正式版本是3.4.31。
利用ipfilter,管理员可以通过定制多种访问控制规则来管理数据包的进出(基于状态的),此外它还具有地址翻译、负载均衡、透明代理、支持ipv6等等非常实用的功能。
在实际应用中,Ipfilter可以被用于配置在多块网卡的主机上充当网关,对可信和非可信网络实行隔离;此外,ipfilter也可以充当单独的主机防火墙。
三:软件的安装
软件的安装非常简单,不花费太多的笔墨,读者可以根据软件包里面的readme和install文件的安装步骤做就可以了,不过由于在solaris上有些特殊,有两点需要讲一下,在编译的时候,如果编译64位的包的话,需要使用gcc版本3.0以上的编译器,否则会出现以下错误:
server# make solaris
if [ ! -f netinet/done ] ; then \
(cd netinet; ln -s ../*.h .; ln -s ../ip_*_pxy.c .; ); \
(cd netinet; ln -s ../ipsend/tcpip.h tcpip.h); \
touch netinet/done; \
fi
CC="gcc -Wstrict-prototypes -Wmissing-prototypes" ./buildsunos
Testing compiler gcc for 64 bit object file generation.
No 64 bit capable compiler was found
*** Error code 1
make: Fatal error: Command failed for target `solaris'
读者可以从sunfreeware.sun.com上面下载3.0以上的gcc编译器来解决这个问题,目前的gcc3.2就可以。另外有一点要注意,执行完make package后,在SunOS5下面会生成一个ipf.pkg文件,管理员需要使用pkgadd命令分别安装两个模块,如下
server# pkgadd -d ./ipf.pkg
The following packages are available:
1 ipf IP Filter
(sparc) 3.4.31
2 ipfx IP Filter (64-bit)
(sparc) 3.4.31
Select package(s) you wish to process (or 'all' to process all packages). (default: all) [?,??,q]: 2
注意要先安装ipfx,然后再安装ipf,顺序不可以搞反。两个模块装好后,可以使用如下命令检查是否成功载入内核: server# modinfo | grep ipf
88 102b1e64 27f88 152 1 ipf (IP Filter: v3.4.31)
看到上述输出,这表示ipfilter已经成功载入内核。
四:访问控制列
下面开始进一步的工作,配置访问控制列,访问控制列对一般的系统管理员而言,应该是不陌生的,我们来看。
Ipfilter可用的访问规则关键字主要包括:端口、源地址/目的地址、TOS、IP OPTION、icmp的类型(type)和代码(code),tcp flags等,一般来说,这些关键字可以单独,也可以混合在一起使用从而完成不同的访问控制功能。
具体的访问控制列是以命令行的方式写在一个配置文件内的,每条访问控制语句一行,以"#"符号开头的表示是注释。配置文件的位置在不同的操作系统有些差别,今天我们所要讲到的solaris环境中默认ipfilter是读取/etc/opt/ipf/目录下的ipf.conf配置文件。
首先从最基本的规则开始:block in all
容易理解,这个规则的意思是拒绝接受所有进入主机的数据包(关键字in,下面会讲到out,对应离开主机的数据包),此时,系统和外界的联系是切断的。这里需要提一下,Ipfilter处理数据包的关键字有两个:block和pass,不象iptables,ipfilter没有drop这个关键字,但实际上block就相当于drop,但配置block时,ipfilter对接收到的数据包悄无声息的丢弃了,而发送数据包的主机得不到任何回应。如果管理员希望给拒绝的主机发送回应,可以在访问控制列内增加icmp error和tcp reset关键字,这个读者可以参考ipfilter文档,不仔细讲述了。
把上面的block替换为pass:pass in all
不用多说,这次允许所有的数据包进入主机。
容易理解是么? 看看这个规则,
pass in all
block in all
哦,这回有点犯难了,第一条规则允许所有的数据包进入主机,但是紧接着第二条规则又拒绝所有的数据包进入主机,到底结果会是什么样的呢?在回答之前这就要牵涉到一个概念,last match,这是ipfilter对访问控制列处理的原则:如果通过ipfilter的数据包同时符合多条访问控制规则,那么最后一条符合的规则有效,前面符合要求的规则都会被丢弃。
由此,我们就明白了,上面的访问规则中最后一条有效,第一条形同虚设。关于这一点可以再举个极端的例子:
pass in all
pass in all
pass in all
pass in all
block in all
虽然写了多条pass in all,但最后一条block in all生效。
再看一个新的关键字quick,上面我们说了:如果通过ipfilter的数据包同时符合多条访问控制规则,那么最后一条符合的规则有效。这里我们还需要补充一点,如果通过ipfilter的数据包同时符合多条访问控制规则,同时这些访问控制规则中都使用了quick关键字,那么对数据包的审核将在第一条使用了quick的访问控制规则处停止,不再继续向下。举例来说明:
pass in quick all
block in all
请注意,此时数据包到达防火
