Linux系統(tǒng)管理基礎(chǔ)項(xiàng)目教程課件 V8-1 Linux防火墻簡介VIP

Linux操作系統(tǒng)Linux防火墻簡介目錄/Contents010203防火墻概述Linux網(wǎng)絡(luò)通信模型簡介Linux防火墻簡介01防火墻概述防火墻概述防火墻是部署在網(wǎng)絡(luò)邊界上的一種安全設(shè)備，其概念比較寬泛，根據(jù)需求不同可以工作在OSI（OpenSystemInterconnection，開放式系統(tǒng)互聯(lián)）網(wǎng)絡(luò)模型的一層或多層上。通常來對網(wǎng)絡(luò)進(jìn)行隔離、保護(hù)操作系統(tǒng)的漏洞、阻止非法的信息流動(dòng)、限制可訪問的服務(wù)和審計(jì)根據(jù)實(shí)現(xiàn)方式和功能的不同，防火墻可以分為三種類型：包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)檢測防火墻。防火墻防護(hù)不能防御已授權(quán)服務(wù)中的惡意攻擊、不能防御不通過防火墻的訪問、不能防御操作系統(tǒng)本身存在的缺陷。防火墻雖能提供基礎(chǔ)的網(wǎng)絡(luò)邊界防護(hù)，但仍需與入侵檢測（IDS）、Web應(yīng)用防火墻（WAF）、主機(jī)防護(hù)（HIDS）等協(xié)同部署，構(gòu)建多層次、立體化的安全防御體系，以彌補(bǔ)其防護(hù)盲區(qū)，提升整體系統(tǒng)安全性。防火墻概述在網(wǎng)絡(luò)安全體系中，不同類型的安全產(chǎn)品根據(jù)部署位置和功能承擔(dān)各自的防護(hù)任務(wù)。下表列舉了主要安全產(chǎn)品的部署位置與主要功能。安全產(chǎn)品部署位置主要功能防火墻（Firewall）內(nèi)外網(wǎng)之間實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，限制跨網(wǎng)訪問和非法請求WAF（WebApplicationFirewall）Web服務(wù)前端防護(hù)Web應(yīng)用，攔截如SQL注入、XSS等攻擊NIDS（網(wǎng)絡(luò)入侵檢測系統(tǒng)）內(nèi)網(wǎng)交換節(jié)點(diǎn)或網(wǎng)關(guān)鏡像口檢測內(nèi)網(wǎng)流量中的異常行為或攻擊跡象HIDS（主機(jī)入侵檢測系統(tǒng)）內(nèi)網(wǎng)服務(wù)器主機(jī)檢測服務(wù)器內(nèi)部的異常操作或惡意行為IPS（入侵防御系統(tǒng)）網(wǎng)絡(luò)或主機(jī)旁路/串聯(lián)對已識(shí)別的攻擊行為進(jìn)行實(shí)時(shí)阻斷與攔截防火墻概述從邏輯上講，防火墻可以大體分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻。主機(jī)防火墻：針對于單個(gè)主機(jī)進(jìn)行防護(hù)。網(wǎng)絡(luò)防火墻：往往處于網(wǎng)絡(luò)入口或邊緣，針對于網(wǎng)絡(luò)入口進(jìn)行防護(hù)，服務(wù)于防火墻背后的本地局域網(wǎng)。從物理上講，防火墻可以分為硬件防火墻和軟件防火墻。硬件防火墻：在硬件級(jí)別實(shí)現(xiàn)部分防火墻功能，另一部分功能基于軟件實(shí)現(xiàn)，性能高，成本高。軟件防火墻：應(yīng)用軟件處理邏輯運(yùn)行于通用硬件平臺(tái)之上的防火墻，性能低，成本低。02Linux網(wǎng)絡(luò)通信模型Linux網(wǎng)絡(luò)通信模型Linux系統(tǒng)的網(wǎng)絡(luò)通信模型，即信息是如何從程序中發(fā)出，通過網(wǎng)絡(luò)傳輸，再被另一個(gè)程序接收到的。Linux系統(tǒng)的通信過程無論是按理論上的OSI七層模型，還是以實(shí)際上的TCP/IP四層模型來解構(gòu)，都明顯地呈現(xiàn)出“逐層調(diào)用，逐層封裝”的特點(diǎn)，這種逐層處理的方式與棧結(jié)構(gòu)，比如程序執(zhí)行時(shí)的方法棧很類似，所以它通常被稱為“Linux網(wǎng)絡(luò)協(xié)議?！?，簡稱“網(wǎng)絡(luò)棧”，有時(shí)也稱“協(xié)議?！?。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層Linux網(wǎng)絡(luò)通信模型Socket：應(yīng)用層的程序是通過Socket編程接口，來和內(nèi)核空間的網(wǎng)絡(luò)協(xié)議棧通信的。LinuxSocket是從BSDSocket發(fā)展而來的，現(xiàn)在的Socket已經(jīng)不局限于作為某個(gè)操作系統(tǒng)的專屬功能，而是成為了各大主流操作系統(tǒng)共同支持的通用網(wǎng)絡(luò)編程接口，是網(wǎng)絡(luò)應(yīng)用程序?qū)嶋H上的交互基礎(chǔ)。應(yīng)用程序通過讀寫收、發(fā)緩沖區(qū)來與Socket進(jìn)行交互，在Unix和Linux系統(tǒng)中，出于“一切皆是文件”的設(shè)計(jì)哲學(xué)，對Socket的操作被實(shí)現(xiàn)為了對文件系統(tǒng)（socketfs）的讀寫訪問操作，通過文件描述符（FileDescriptor）來進(jìn)行。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層Linux網(wǎng)絡(luò)通信模型TCP/UDP：傳輸層協(xié)議族里TCP和UDP是在Linux內(nèi)核中被直接支持的協(xié)議。以TCP協(xié)議為例，內(nèi)核發(fā)現(xiàn)Socket的發(fā)送緩沖區(qū)中，有新的數(shù)據(jù)被拷貝進(jìn)來后，會(huì)把數(shù)據(jù)封裝為TCPSegment報(bào)文，常見的網(wǎng)絡(luò)協(xié)議的報(bào)文基本上都是由報(bào)文頭（Header）和報(bào)文體（Body，也叫荷載“Payload”）兩部分組成。接著，系統(tǒng)內(nèi)核將緩沖區(qū)中用戶要發(fā)送出去的數(shù)據(jù)作為報(bào)文體，然后把傳輸層中的必要控制信息，比如代表哪個(gè)程序發(fā)、由哪個(gè)程序收的源、目標(biāo)端口號(hào)，用于保證可靠通信（重發(fā)與控制順序）的序列號(hào)、用于校驗(yàn)信息是否在傳輸中出現(xiàn)損失的校驗(yàn)和（CheckSum）等信息，封裝入報(bào)文頭中。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層Linux網(wǎng)絡(luò)通信模型IP：網(wǎng)絡(luò)層協(xié)議最主要的就是網(wǎng)際協(xié)議（InternetProtocol，IP），其他的還有IGMP、大量的路由協(xié)議BGP、OSPF、IGRP等等。以IP協(xié)議為例，它會(huì)把來自上一層，即TCP報(bào)文的數(shù)據(jù)包作為報(bào)文體，然后再次加入到自己的報(bào)文頭中，比如指明數(shù)據(jù)應(yīng)該發(fā)到哪里的路由地址、數(shù)據(jù)包的長度、協(xié)議的版本號(hào)，等等，這樣封裝成IP數(shù)據(jù)包后再發(fā)往下一層。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層Linux網(wǎng)絡(luò)通信模型Device：網(wǎng)絡(luò)設(shè)備，它是網(wǎng)絡(luò)訪問層中面向系統(tǒng)一側(cè)的接口。不過這里所說的設(shè)備可能是某段具有特定功能的程序代碼，比如即使不存在物理網(wǎng)卡，也依然可以存在回環(huán)設(shè)備。Device主要的作用是抽象出統(tǒng)一的界面，讓程序代碼去選擇或影響收發(fā)包出入口，比如決定數(shù)據(jù)應(yīng)該從哪塊網(wǎng)卡設(shè)備發(fā)送出去；還有就是準(zhǔn)備好網(wǎng)卡驅(qū)動(dòng)工作所需的數(shù)據(jù)，比如來自上一層的IP數(shù)據(jù)包、下一跳（NextHop）的MAC地址（這個(gè)地址是通過ARPRequest得到的）等等。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層Linux網(wǎng)絡(luò)通信模型Driver：網(wǎng)卡驅(qū)動(dòng)程序是網(wǎng)絡(luò)訪問層中面向硬件一側(cè)的接口，網(wǎng)卡驅(qū)動(dòng)程序會(huì)通過DMA把主存中的待發(fā)送的數(shù)據(jù)包，復(fù)制到驅(qū)動(dòng)內(nèi)部的緩沖區(qū)之中。數(shù)據(jù)被復(fù)制的同時(shí)，也會(huì)把上層提供的IP數(shù)據(jù)包、下一跳的MAC地址這些信息，加上網(wǎng)卡的MAC地址、VLANTag等信息，一并封裝成為以太幀，并自動(dòng)計(jì)算校驗(yàn)和。而對于需要確認(rèn)重發(fā)的信息，如果沒有收到接收者的確認(rèn)響應(yīng)，那重發(fā)的處理也是在這里自動(dòng)完成的。發(fā)送端fileSocketsTCPUDPIPDeviceDerver網(wǎng)絡(luò)設(shè)備發(fā)送端fileSocketsTCPUDPIPDeviceDevice網(wǎng)絡(luò)設(shè)備UserSpace用戶空間KernelSpace用戶空間源主機(jī)目標(biāo)主機(jī)OSI模型TCP/IP模型應(yīng)用層表示層會(huì)話層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)訪問層03Linux防火墻簡介Linux防火墻簡介從LinuxKernel2.4版開始，Linux內(nèi)核開放了一套通用的、可供代碼干預(yù)數(shù)據(jù)在協(xié)議棧中流轉(zhuǎn)的過濾器框架，這就是Netfilter框架。Netfilter框架是Linux防火墻和網(wǎng)絡(luò)的主要維護(hù)者羅斯迪·魯塞爾提出并主導(dǎo)設(shè)計(jì)的，它圍繞網(wǎng)絡(luò)層IP協(xié)議的周圍，埋下了五個(gè)鉤子（Hooks），每當(dāng)有數(shù)據(jù)包流到網(wǎng)絡(luò)層，經(jīng)過這些鉤子時(shí)，就會(huì)自動(dòng)觸發(fā)由內(nèi)核模塊注冊在這里的回調(diào)函數(shù)，程序代碼就能夠通過回調(diào)來干預(yù)Linux的網(wǎng)絡(luò)通信。這些回調(diào)函數(shù)分別是：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。Linux防火墻簡介PREROUTING：來自設(shè)備的數(shù)據(jù)包進(jìn)入?yún)f(xié)議棧后，就會(huì)立即觸發(fā)這個(gè)鉤子。注意，如果PREROUTING鉤子在進(jìn)入IP路由之前觸發(fā)了，就意味著只要接收到的數(shù)據(jù)包，無論是否真的發(fā)往本機(jī)，也都會(huì)觸發(fā)這個(gè)鉤子。它一般是用于目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換（DestinationNAT，DNAT）。INPUT：報(bào)文經(jīng)過IP路由后，如果確定是發(fā)往本機(jī)的，將會(huì)觸發(fā)這個(gè)鉤子，它一般用于加工發(fā)往本地進(jìn)程的數(shù)據(jù)包。TCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墻簡介FORWARD：報(bào)文經(jīng)過IP路由后，如果確定不是發(fā)往本機(jī)的，將會(huì)觸發(fā)這個(gè)鉤子，它一般用于處理轉(zhuǎn)發(fā)到其他機(jī)器的數(shù)據(jù)包。OUTPUT：從本機(jī)程序發(fā)出的數(shù)據(jù)包，在經(jīng)過IP路由前，將會(huì)觸發(fā)這個(gè)鉤子，它一般用于加工本地進(jìn)程的輸出數(shù)據(jù)包。POSTROUTING：從本機(jī)網(wǎng)卡出去的數(shù)據(jù)包，無論是本機(jī)的程序所發(fā)出的，還是由本機(jī)轉(zhuǎn)發(fā)給其他機(jī)器的，都會(huì)觸發(fā)這個(gè)鉤子，它一般是用于源網(wǎng)絡(luò)地址轉(zhuǎn)換（SourceNAT，SNATTCPTCP/UDPTCP/UDPOUTPUTINPUTIPPOSTROUTINGPREROUTINGDeviceDeviceFORWARDLinux防火墻簡介Linux系統(tǒng)中廣泛使用的防火墻管理工具，均建立在Netfilter框架之上，主要包括：工具名稱簡介特點(diǎn)iptables最早期的Netfilter用戶空間控制工具，通過命令行操作實(shí)現(xiàn)對防火墻規(guī)則的配置與管理，支持IPv4網(wǎng)絡(luò)數(shù)據(jù)包過濾、NAT、連接追蹤等功能。穩(wěn)定性高，社區(qū)廣泛支持，規(guī)則結(jié)構(gòu)清晰，適合中小型環(huán)境，但不支持動(dòng)態(tài)規(guī)則管理，語法配置較繁瑣。ip6tables與iptables類似，專用于管理IPv6流量的防火墻規(guī)則，提供與IPv4相似的控制邏輯和命令格式。專注于IPv6網(wǎng)絡(luò)防護(hù)，與iptables配合使用，規(guī)則結(jié)構(gòu)一致，便于統(tǒng)一管理IPv4/IPv6網(wǎng)絡(luò)。nftables作為iptables的繼任者，由Netfilter項(xiàng)目開發(fā)，用于統(tǒng)一IPv4、IP