基于Linux的IPv6復(fù)合防火墻的設(shè)計(jì)
引言
IPv6運(yùn)用AH和ESP對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證和加密,保證了數(shù)據(jù)的機(jī)密性、完整性和可靠性,實(shí)現(xiàn)了信息在傳輸過(guò)程的安全性。但I(xiàn)Pv6并不能保障網(wǎng)絡(luò)系統(tǒng)本身的安全及其提供的服務(wù)的可用性,也不能防止黑客的非法入侵和竊取私有數(shù)據(jù)。面對(duì)IPv6將要廣泛的應(yīng)用,有必要將其和防火墻相結(jié)合來(lái)保障整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。
目前Linux操作系統(tǒng)自2.2內(nèi)核以來(lái)已提供對(duì)IPv6的支持,其性能穩(wěn)定且安全性較高,因此本文以Linux為平臺(tái)來(lái)研究設(shè)計(jì)針對(duì)IPv6的防火墻系統(tǒng)。
Linux內(nèi)核對(duì)數(shù)據(jù)包的過(guò)濾處理
netfilter框架機(jī)制
netfilter是linux2.4內(nèi)核以后實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾處理的一個(gè)抽象的、通用化的功能框架,它提供了不同于BSD Socket接口的操作網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)制。在netfilter中,協(xié)議棧每種協(xié)議都定義了若干個(gè)鉤子(HOOK),而對(duì)應(yīng)協(xié)議的數(shù)據(jù)包將按照一定的規(guī)則通過(guò)一些鉤子,每一個(gè)鉤子都是處理函數(shù)掛載點(diǎn)。內(nèi)核模塊可以在各個(gè)鉤子上注冊(cè)處理函數(shù)以操作經(jīng)過(guò)對(duì)應(yīng)鉤子的數(shù)據(jù)包。數(shù)據(jù)包經(jīng)過(guò)所注冊(cè)的函數(shù)處理后,根據(jù)一定的策略返回給內(nèi)核進(jìn)行下一步的處理。
IPv6協(xié)議定義了五個(gè)鉤子:
(1)NF_IPv6_PRE_ROUTING:數(shù)據(jù)包在抵達(dá)路由之前經(jīng)過(guò)這個(gè)鉤子。一般應(yīng)用于防止拒絕服務(wù)攻擊和NAT。
(2)NF_IPv6_LOCAL_IN:目的地為本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子,這個(gè)鉤子可以應(yīng)用于防火墻。
(3)NF_IPv6_FORWARD:目的地非本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子。
(4)NF_IPv6_POST_ROUTING:數(shù)據(jù)包在離開本地主機(jī)之前經(jīng)過(guò)這個(gè)鉤子,包括源地址為本地主機(jī)和非本地主機(jī)的數(shù)據(jù)包。
(5)NF_IPv6_LOCAL_OUT:本地主機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子。這個(gè)鉤子可以應(yīng)用于防火墻。如圖1所示。
圖1 netfilter框架機(jī)制
數(shù)據(jù)包從左邊進(jìn)入系統(tǒng),進(jìn)行IP校驗(yàn)以后,數(shù)據(jù)包經(jīng)過(guò)第一個(gè)鉤子NF_IP6_PRE_ROUTING注冊(cè)函數(shù)進(jìn)行處理,然后就進(jìn)入路由代碼決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)。若該數(shù)據(jù)包是發(fā)給本機(jī)的,則該數(shù)據(jù)經(jīng)過(guò)鉤子NF_IP6_LOCAL_IN注冊(cè)函數(shù)的處理以后傳遞給上層協(xié)議。若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP6_FORWARD注冊(cè)函數(shù)處理。經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過(guò)最后一個(gè)鉤子NF_IP6_POST_ROUTING注冊(cè)函數(shù)的處理以后,再傳輸?shù)骄W(wǎng)絡(luò)上。本地產(chǎn)生的數(shù)據(jù)經(jīng)過(guò)鉤子NF_IP6_LOCAL_OUT注冊(cè)函數(shù)處理以后,進(jìn)行路由選擇處理,然后經(jīng)過(guò)NF_IP6_POST_ROUTING注冊(cè)函數(shù)的處理以后發(fā)送到網(wǎng)絡(luò)上。每個(gè)注冊(cè)函數(shù)處理完后,將返回一個(gè)整形常量,內(nèi)核根據(jù)這個(gè)返回值來(lái)對(duì)數(shù)據(jù)包作下一步的處理,現(xiàn)在內(nèi)核共定義了以下五個(gè)常量:
(1)NF_DROP表示丟棄此數(shù)據(jù)包,而不進(jìn)入此后的處理;
(2)NF_ACCEPT表示接受此數(shù)據(jù)包,進(jìn)入下一步的處理;
(3)NF_STOLEN表示異常分組;
(4)NF_QUEUE表示排隊(duì)到用戶空間,等待用戶處理;
(5)NF_REPEAT表示再次進(jìn)入該鉤子函數(shù)作處理。
ip6tables數(shù)據(jù)包過(guò)濾系統(tǒng)
目前,基于Netfilter框架的、稱為ip6tables的IPv6數(shù)據(jù)包選擇系統(tǒng)在Linux2.4以上的內(nèi)核中被應(yīng)用,它可以讓用戶訪問(wèn)內(nèi)核過(guò)濾規(guī)則和命令。這種數(shù)據(jù)包選擇主要用于實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾(filter表)、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat表)及數(shù)據(jù)包處理(mangle表)。Linux2.4內(nèi)核提供的這三種數(shù)據(jù)包處理功能都基于Netfilter的鉤子函數(shù)和IP表。它們相互之間是獨(dú)立的模塊,但完美的集成到由Netfilter提供的框架中。
filter表格不對(duì)數(shù)據(jù)包進(jìn)行修改,只對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。它通過(guò)鉤子函數(shù)NF_IP6_LOCAL_IN、NF_IP6_FORWARD及NF_IP6_LOCAL_OUT接入Netfilter框架。NAT表格監(jiān)聽三個(gè)Netfilter鉤子函數(shù):
NF_IP6_PRE_ROUTING、NF_IP6_POST_ROUTING及NF_IP6_LOCAL_OUT,用于源NAT、目的NAT、偽裝(是源NAT的一個(gè)特例)及透明代理(是目的NAT的一個(gè)特例)。mangle表格在NF_IP6_PRE_ROUTING和NF_IP6_LOCAL_OUT鉤子中進(jìn)行注冊(cè)。使用mangle表,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)包的修改或給數(shù)據(jù)包附上一些額外數(shù)據(jù)。
ip6tables用戶命令基本上包含以下5部分:
(1)希望工作在哪個(gè)表(Filter、NAT、Mangle);
(2)希望使用⑴所指定的表的哪個(gè)鏈(INPUT、OUTPUT、FORWARD等);
(3)進(jìn)行的操作(插入、添加、刪除、修改);
(4)對(duì)特定規(guī)則的目標(biāo)動(dòng)作;
(5)匹配數(shù)據(jù)包條件。ip6tables的語(yǔ)法為:
#ip6tables[-ttable] command [match] [target] [-ttable]有三種可用的表選項(xiàng):filter、nat和mangle。該選項(xiàng)如果未指定,則filter用作缺省表。filter表用于一般的信息包過(guò)濾,它包含INPUT、OUTPUT和FORWARD鏈。nat表用于要轉(zhuǎn)發(fā)的信息包,它包含PREROUTING、OUTPUT和POSTROUTING鏈。
PREROUTING鏈由指定信息包一到達(dá)防火墻就改變它們的規(guī)則所組成,而POSTROUTING鏈由指定正當(dāng)信息包打算離開防火墻時(shí)改變它們的規(guī)則所組成。如果信息包及其頭內(nèi)進(jìn)行了任何更改,則使用mangle表。該表包含一些規(guī)則來(lái)標(biāo)記用于高級(jí)路由的信息包,該表包含PREROUTING和OUTPUT鏈。
ip6tables的基本操作(command):-A表示在鏈尾添加一條規(guī)則,-I表示插入一條規(guī)則,-D表示刪除一條規(guī)則,-R表示替代一條規(guī)則,-L表示列出所有規(guī)則。
ip6tables基本目標(biāo)動(dòng)作(target)(適用于所有的鏈):ACCEPT表示接收該數(shù)據(jù)包,DROP表示丟棄該數(shù)據(jù)包,QUEUE表示排隊(duì)該數(shù)據(jù)包到用戶空間,RETURN表示返回到前面調(diào)用的鏈,F(xiàn)OOBAR表示用戶自定義鏈。
ip6tables基本匹配條件(match)(適用于所有的鏈):-p表示指定協(xié)議,-s表示源地址,-d表示目的地址,-i表示數(shù)據(jù)包輸入接口,-o表示數(shù)據(jù)包輸出接口。例如,識(shí)別IPv6的網(wǎng)絡(luò)服務(wù)器上的SSH連接時(shí)可以使用以下規(guī)則:
#ip6tables-AINPUT-ieth0-ptcp-s3ffe:ffff:100::1/128--dport22-jACCEPT
當(dāng)然,還有其他對(duì)規(guī)則進(jìn)行操作的命令,如清空鏈表,設(shè)置鏈缺省策略,添加用戶自定義的鏈等,這里不再詳述。
INPUT、OUTPUT、FORWARD鏈?zhǔn)莍p6tables內(nèi)置的過(guò)濾鏈,每條鏈都可定義若干條過(guò)濾規(guī)則,構(gòu)成了基本的ip6tables包過(guò)濾防火墻,如圖2所示。
圖2 ip6tables內(nèi)置的過(guò)濾鏈表
應(yīng)用服務(wù)代理
包過(guò)濾防火墻只考查數(shù)據(jù)包的少數(shù)幾個(gè)參數(shù),對(duì)高層的應(yīng)用服務(wù)不能識(shí)別。為了能過(guò)濾服務(wù)連接,通過(guò)代理服務(wù)器使允許代理的服務(wù)通過(guò)防火墻,阻塞沒(méi)有代理的服務(wù)。因此,使用代理服務(wù)的好處就是可以過(guò)濾協(xié)議,在應(yīng)用層級(jí)建立起安全機(jī)制。應(yīng)用代理后網(wǎng)絡(luò)通信過(guò)程如圖3所示。
圖3 應(yīng)用代理后網(wǎng)絡(luò)通信過(guò)程 [!--empirenews.page--]
Squid是Linux下一個(gè)高性能的代理緩存服務(wù)器,支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同,Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來(lái)處理所有的客戶端請(qǐng)求??蓮膚ww.squid-cache.org獲取該軟件的源代碼安裝包squid-2.5.STABLE.tar.gz,解壓縮包:
#tarxvfzsquid-2.5.STABLE2.tar.gz
然后,進(jìn)入相應(yīng)目錄對(duì)源代碼進(jìn)行配置和編譯:
#cdsquid-2.5.STABLE2
#./configure--prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language="Simplify_Chinese"
--enable-storeio=ufs,null
--enable-default-err-language="Simplify_Chinese"
最后執(zhí)行#make;makeinstall將源代碼編譯為可執(zhí)行文件完成安裝。為了使squid支持IPv6,從devel.squid-cache.org/projects.html#squid3-ipv6下載squid3-ipv6.patch補(bǔ)丁并安裝。接下來(lái)在/etc/squid.conf中對(duì)squid的運(yùn)行進(jìn)行配置。
下面是一個(gè)在配置文件中有關(guān)IPv6部分的簡(jiǎn)單例子:
#IPv6的訪問(wèn)控制列表
aclallsrc::/0
aclsitelocalsrcfec0:/16
aclipv4::ffff:0:0/96
#對(duì)列表所做的處理
http_accessdenyipv4
http_accessallowsitelocal
http_accessdenyall
IPv6復(fù)合型防火墻的設(shè)計(jì)
把分組過(guò)濾系統(tǒng)ip6tables和應(yīng)用代理squid結(jié)合使用,由分組過(guò)濾控制通信的底層,代理服務(wù)器用于過(guò)濾應(yīng)用層的服務(wù),這樣就能從網(wǎng)絡(luò)層到應(yīng)用層進(jìn)行全方位的安全處理。比如若要對(duì)http協(xié)議進(jìn)行控制,則用ip6tables把對(duì)Web端口80的請(qǐng)求轉(zhuǎn)發(fā)到squid端口,由squid對(duì)這個(gè)應(yīng)用層協(xié)議進(jìn)行控制,而用戶瀏覽器仍然認(rèn)為它訪問(wèn)的是對(duì)方的80端口。如下面這條命令:
#ip6tables-tnat-APREROUTING-ieth0-s3ffe:ffff:200:: 1/128-ptcp--dport80-jREDIRECT--to-ports3128(eth0為防火墻主機(jī)輸入接口,3128是squid監(jiān)聽HTTP客戶連接請(qǐng)求的缺省端口)。系統(tǒng)的工作流程如圖4所示。當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入防火墻后,首先由ip6tables的nat表中PREROUTING鏈的規(guī)則來(lái)判斷這個(gè)數(shù)據(jù)包的高層協(xié)議(如HTTP、FTP等)是否應(yīng)受控制,若應(yīng)受控制,則將其定向到squid端口,由squid代理進(jìn)程進(jìn)行處理,如上命令所示。之后,進(jìn)行路由判斷,若是防火墻本地包,則要由INPUT鏈處理,若是外地包,則要由FORWARD鏈來(lái)處理,最后經(jīng)過(guò)POSTROUTING鏈的snat處理把數(shù)據(jù)包轉(zhuǎn)發(fā)出防火墻,形成透明代理。如下命令所示:
圖4 IPv6復(fù)合型防火墻系統(tǒng)的工作流程
ip6tables-APOSTROUTING-tnat-sIPv6(s1)-oeth1-jSNAT--to-sourceIPv6(s)。其中IPv6(s1)指數(shù)據(jù)包的源IPv6地址,eth1為防火墻主機(jī)輸出接口,IPv6(s)指防火墻主機(jī)的出口地址。
若數(shù)據(jù)包來(lái)自防火墻主機(jī)本身,經(jīng)過(guò)PREROUTING鏈規(guī)則處理,判斷是否應(yīng)進(jìn)行squid代理,若是,則進(jìn)行squid處理,之后經(jīng)過(guò)OUTPUT鏈規(guī)則處理,再判斷路由,最后由POSTROUTING鏈的snat處理把數(shù)據(jù)包轉(zhuǎn)發(fā)出防火墻。
結(jié)論
由squid限定內(nèi)外網(wǎng)絡(luò)之間的服務(wù)連接,使它們都通過(guò)squid的介入和轉(zhuǎn)換,再由防火墻本身提交請(qǐng)求和應(yīng)答,這樣就使內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)不會(huì)直接進(jìn)行會(huì)話,結(jié)合ip6tables的包過(guò)濾控制底層通信,從而能建立起一種從網(wǎng)絡(luò)層到應(yīng)用層堅(jiān)固的IPv6防火墻系統(tǒng)。ip6tables和squid都可以免費(fèi)獲得,因此無(wú)論從安全性還是從經(jīng)濟(jì)性來(lái)說(shuō),這都是一種非常好的IPv6防火墻解決方案。