防火墙设备设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络,是必备设备。所以在网络设计阶段,应当充分考虑满足等级保护相关要求,而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套,需要根据业务的要求进行选购。
Linux 防火墙
Linux 操作系统内置了防火墙功能。多年来,它一直是 Linux 操作系统的一部分,偶尔也会对技术进行改进。
iptables
第一个广泛使用的 Linux 防火墙称为ipchains。它本质上是一系列过滤流量的规则,因此得名。它首次在 Linux 内核 2.2 版本中引入,并取代了之前的 ipfwadm(并未广泛使用)。更现代的 iptables 取代了 ipchains,成为 Linux 的主要防火墙。iptables 服务首次在 Linux 内核 2.4 中引入。
在大多数 Linux 系统上,iptables安装为 /usr/sbin/iptables。但是,如果您的特定 Linux 安装中未包含它,您可以稍后添加它,如图4-2所示。
查找 iptables
iptables 防火墙由三种不同类型的对象组成:表、链和规则。基本上,这些表包含规则链。换句话说,iptables 是 ipchains 概念的扩展。每个链都有一系列规则来定义如何过滤数据包。实际上有三个表,每个表都有一些标准规则链。当然,您可以添加自己的自定义规则。这三个表及其标准链如下:
·包过滤:该表是防火墙的重要组成部分。它是一个包过滤防火墙,包含三个标准链:INPUT、OUTPUT 和 FORWARD。INPUT链处理传入的数据包,OUTPUT 链处理从机器发出的流量。如果防火墙系统还充当路由器,则只有 FORWARD 链适用于路由数据包。
·网络地址转换:该表用于对发起新连接的出站流量执行网络地址转换。仅当您的计算机用作网关或代理服务器时才使用此选项。
·数据包更改:该表仅用于专门的数据包更改。它通常被称为 mangle 表,因为它会改变或破坏数据包。它包含两个标准链。许多标准防火墙甚至可能不需要该表。
iptables配置
Iptables 需要一些配置。您可以通过 GUI(KDE、GNOME 等)来完成此操作,但 shell 命令对于大多数发行版都是通用的。让我们看一下一些常见的基本配置问题。
要使 iptables 充当基本包过滤防火墙,您需要以下命令:
·iptables -F
·iptables -N block
·iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
显然,这是最基本、最本质的 iptables 配置。然而,这里还有其他一些。
iptables -L
要允许在特定端口上进行通信(在此示例中使用 SSH 端口 22),您可以使用:
或者您可能需要允许所有传入的 Web/HTTP 流量:
记录丢弃的数据包也是一个好主意。以下命令可以做到这一点:
正如您所看到的,有一些标志可以传递给iptables
命令。以下是最常见标志及其用途的列表。
A
:将此规则附加到规则链中。-L
:列出当前的过滤规则。-p
:使用的连接协议。--dport
:此规则所需的目标端口。可以给出单个端口,或者可以给出范围作为开始:结束。--limit
:最大匹配率,以数字形式给出,后跟"/second"
、"/minute"
、"/hour"
或 ,"/day"
具体取决于您希望规则匹配的频率。如果不使用该选项并且-m limit
使用该选项,则默认为"3/hour"
。--ctstate
:定义要匹配的规则的状态列表。--log-prefix
:记录时,将此文本放在日志消息之前。在要使用的文本周围使用双引号。--log-level
:使用指定的syslog级别记录日志。-i
:仅当数据包来自指定接口时才匹配。-v
:详细输出。-s --source
:地址[/掩码] 源规范。-d --destination
:地址[/掩码] 目的地指定。-o --out-interface
:输出名称[+]网络接口名称([+]表示通配符)。这不是完整的列表,只是一些常用的标志。但这应该足以让您进行iptables
基本配置和运行。
其他防火墙,像赛门铁克诺顿防火墙、迈克菲个人防火墙,是使用最广泛的防病毒软件供应商之一,可以单独安装在主机上。
额外的防火墙功能
您可能已经注意到,许多防火墙解决方案都带有各种与数据包过滤/阻止不直接相关的额外功能。您可能还注意到,其中许多功能可以从其他来源免费获得。那么,问题来了:为什么不直接使用内置的 Windows 防火墙或其他一些免费防火墙,然后自己获取其他功能呢?
答案是确实易于使用。除了功能之外,任何技术产品都必须根据可用性进行评估。例如,您可以执行traceroute
命令、扫描计算机是否存在漏洞以及监控各个网站以了解最新的攻击情况,但考虑到大多数管理员都非常忙碌,将这些功能全部集中在一个地方不是更方便吗?
家庭用户当然无法联系专门的网络管理员,当然也没有专门的网络安全专业人员。许多中小型组织也有同样的处境。他们在现场可能有也可能没有基本的一般技术支持人员。在这种情况下,处理安全问题的人员可能技能有限,并且会受益于为他完成大部分工作的工具。
从实用的角度来看,其中一些功能对于精通安全的网络管理员或专门的网络安全专业人员来说可能是多余的。然而,对于家庭或小型办公室用户来说,它们绝对至关重要。您将被要求推荐工作和私人生活中的安全解决方案。您不仅必须记住每个产品的技术优势,还要记住该产品对于使用它的人来说有多容易。
还有其他个人防火墙解决方案。大多数 Linux 发行版都有一个或多个内置防火墙。在 Google 或 Bing 上搜索“免费防火墙”将提供多种选择。在大多数情况下,个人防火墙只是数据包过滤防火墙。大多数免费解决方案的功能相当有限,而许多商业产品会添加额外的功能。
概括
最适合网络的防火墙类型至少部分取决于网络的规模。在每个尺寸类别中,防火墙解决方案都有许多选项,每个选项都有自己的优点和缺点。
考虑防火墙解决方案的技术优点和易用性非常重要。防火墙解决方案的用户友好程度在很大程度上取决于实施该解决方案的支持人员的技能。管理人员还必须平衡成本与收益。显然,更昂贵的防火墙具有一些令人印象深刻的功能,但它们对于组织来说可能不是必需的,并且可能对其整体 IT 预算产生负面影响。
我可以建议另一个要素是防火墙系统的整体运行。我的想法是对负责管理的人进行讨论。根据我的经验,我们的保护系统经常被委托给一个可能没有接受过分析培训以辨别防火墙设置和维护的各种复杂性的人。设置防火墙是一回事,管理防火墙又是另一回事。我们不仅受到设备和人员的限制或面临风险,而且还受到组织政策的限制或风险。
期待,有防火墙厂商能提供一些最新的资料,以备作为特例介绍。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:Linux 防火墙
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论