運用Linux系統(tǒng)打造NAT防火墻的技術(shù)研究與實現(xiàn)

祝 虹，吉承平

（揚州職業(yè)大學(xué) 江蘇 揚州 225009）

隨著因特網(wǎng)的快速發(fā)展，IP地址的匱乏及網(wǎng)絡(luò)安全等問題日益突出。NAT技術(shù)提供了一種解決網(wǎng)絡(luò)內(nèi)多臺計算機共享一個公共IP地址，就能與 Internet互聯(lián)的問題，緩解了IP地址資源匱乏，節(jié)省了公網(wǎng) IP地址；同時，NAT還具有防火墻的功能，通過NAT設(shè)置，可以對外部網(wǎng)絡(luò)隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，限制從外網(wǎng)到內(nèi)網(wǎng)的非授權(quán)訪問，維持了局域網(wǎng)的私密性，增加網(wǎng)絡(luò)的安全性，減少非法用戶通過Internet入侵內(nèi)部網(wǎng)絡(luò)的機會[1-5]。

文中在Linux系統(tǒng)下，詳細(xì)闡述了如何設(shè)置基于NAT的防火墻，從準(zhǔn)備工作開始，逐步定義規(guī)則，到提供有狀態(tài)服務(wù)，編輯及運行Shell腳本，最后進行檢驗NAT防火墻的作用和效果。

1 NAT技術(shù)的原理

所謂NAT技術(shù)就是網(wǎng)絡(luò)地址轉(zhuǎn)換[6]，這種轉(zhuǎn)換通常發(fā)生在內(nèi)部網(wǎng)絡(luò)的自定義IP地址（不需要經(jīng)過申請）即假的IP地址的電腦和外部通訊時，通過網(wǎng)絡(luò)中的NAT網(wǎng)關(guān)，把內(nèi)部IP地址翻譯成外部合法地址后傳送到外部網(wǎng)絡(luò)。同樣，由外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)時，也經(jīng)過相同的過程。

NAT技術(shù)的基本原理就是通過一個外部地址或幾個外部地址轉(zhuǎn)換成局域網(wǎng)的內(nèi)部地址來實現(xiàn)內(nèi)部的所有主機訪問Internet[7-8]。NAT技術(shù)是把TCP和UDP以及ICMP等的一部分信息通過透明中繼，而TCP/IP在NAT網(wǎng)關(guān)上運行的軟件與其他的普通網(wǎng)關(guān)軟件不一樣，一般來講，普通的路由器是根據(jù)IP包中的目的地址和路由表將IP數(shù)據(jù)包從一個網(wǎng)絡(luò)發(fā)送到另一個網(wǎng)絡(luò)，而NAT技術(shù)的IP數(shù)據(jù)包傳送并非憑借目的IP地址，它的NAT網(wǎng)關(guān)是內(nèi)網(wǎng)與外網(wǎng)Internet之間一種幀中繼IP數(shù)據(jù)包轉(zhuǎn)換，并且它的中繼是面向連接的，如圖1所示。

從NAT改變封包的地址類型來看，NAT可以分為兩種：Source NAT （SNAT）與 Destination NAT （DNAT）。 NAT 規(guī)則的表格含有3個列表叫做 ‘chains’：每一條規(guī)則都按順序檢查﹐直到找到一個相符的比對。具體流程如圖2所示。

2 Linux系統(tǒng)下打造NAT防火墻的方案分析

NAT作為防火墻具有以下優(yōu)勢：

1）NAT可以作為過濾器，限制內(nèi)網(wǎng)與外網(wǎng)的連接。當(dāng)端口地址在NAT內(nèi)動態(tài)分配時，NAT域中特定主機被外網(wǎng)攻擊比較困難。

圖1 NAT在內(nèi)部網(wǎng)絡(luò)LAN和外部網(wǎng)絡(luò)WAN之間中繼IP數(shù)據(jù)報的連接Fig.1 NAT between the internal network LAN and external networks WAN connection of the relay IP datagrams

圖2 NAT通信過程Fig.2 NAT communciationn process

2）將NAT設(shè)備和應(yīng)用網(wǎng)關(guān)結(jié)合起來，NAT可以具有透明路由的功能。這樣可以對應(yīng)用層中含有IP地址的信息進行翻譯，確保數(shù)據(jù)報中不出現(xiàn)私有地址的信息。

3）NAT設(shè)備是作為因特網(wǎng)主機存在的，容易受到外來攻擊，如Ping Flood、SYN Flood。在Linux系統(tǒng)下打造NAT防火墻，可以對NAT設(shè)備進行保護。

4）當(dāng)NAT設(shè)備處于不安全域中時，應(yīng)用級的負(fù)載可以實現(xiàn)端對端的加密，這樣負(fù)載中就不會包含運輸層的端口信息、IP地址信息，提高網(wǎng)絡(luò)安全性。

3 基于Linux的NAT防火墻的實現(xiàn)與應(yīng)用實例

3.1 設(shè)置準(zhǔn)備

1）基本思路 首先需要在Linux系統(tǒng)中創(chuàng)建基于NAT防火墻，它必須能夠在服務(wù)器或路由器上運行，其功能就是只允許某些類型的通訊數(shù)據(jù)流通過，在配置防火墻時，為增強其安全性，必須設(shè)置能刪除或者拒絕對安全性有威脅的通訊數(shù)據(jù)流。

2）Linux系統(tǒng)內(nèi)核配置 安裝之后，“iptables”命令便可使用進入 /usr/src/linux，輸入 “make menuconfig”或“make xconfig”；并啟用一些內(nèi)核的網(wǎng)絡(luò)功能。

3）配置鏈策略 “iptables-P”命令用于設(shè)置鏈的缺省目標(biāo)和包過濾規(guī)則策略，INPUT是一個內(nèi)置鏈，iptables-P I NPUT DROP命令將INPUT鏈的缺省目標(biāo)指定為DROP，告訴內(nèi)核應(yīng)刪除或丟棄所有與INPUT規(guī)則鏈中都不匹配的信息包。規(guī)則是先拒絕所有信息包，然后再允許所需要的信息包。

由于該項目為滁河兩側(cè)堤頂路周邊的景觀設(shè)計，因此其防浪墻成為該項目出現(xiàn)頻率最多的一個元素，作為左岸項目的一大亮點，為了對與六合老城區(qū)以及河對岸的景觀帶形成對比，此次防浪墻采用異型混凝土塑形，每一段的造型都經(jīng)過二次深化設(shè)計，各不相同。

3.2 定義規(guī)則

同時，要為有兩個網(wǎng)絡(luò)接口 eth0和eth1的機器設(shè)計防火墻。eth0連接到內(nèi)部網(wǎng)絡(luò)，使用私有地址192.168.1.0/16。而eth1連接到通過局域網(wǎng)與因特網(wǎng)進行連接。添加以下命令：

iptables-P INPUT DROP

iptables-A INPUT-i!eth1-j ACCEPT

這行附加的 ＂iptables-A＂將一個新的包過濾規(guī)則添加到 INPUT鏈的末端。添加此規(guī)則之后，INPUT鏈就包含了一個規(guī)則和缺省刪除策略。現(xiàn)在，讓我們看一下當(dāng)前防火墻有什么功能。

3.3 設(shè)置有狀態(tài)防火墻

與其在基于靜態(tài)協(xié)議特征的防火墻上開一個洞，還不如使用Linux新的連接跟蹤功能來使防火墻根據(jù)包的動態(tài)連接狀態(tài)做出判定。conntrack通過將每個包與一個獨立的雙向通信信道或連接相關(guān)聯(lián)來進行判定。

第一種連接狀態(tài)叫作NEW。

第二種連接狀態(tài)是：ESTABLISHED狀態(tài) 就是指建立連接，表示正在通訊。

最后的狀態(tài)是：INVALID狀態(tài)。INVALID包是指不屬于ESTABLISHED、NEW、RELATED 3種類別，通常將其視為惡意的數(shù)據(jù)包而丟棄。但它不會被自動丟棄；需要插入適當(dāng)?shù)囊?guī)則，并設(shè)置鏈策略，以便正確處理這些數(shù)據(jù)包。

3.4 改進有狀態(tài)防火墻

明確關(guān)閉ECN:前面提到過應(yīng)當(dāng)關(guān)閉 ECN（明確擁塞通知），以便因特網(wǎng)通信可以正確工作。但由于種種原因，有可能會啟用了 ECN。由于這些原因，最好使用 /proc接口來明確禁用 ECN，處理拒絕。

目前，已經(jīng)刪除了所有來自因特網(wǎng)的未經(jīng)請求的通信流。這樣可以阻止討厭的網(wǎng)絡(luò)活動，但是它有一些缺點。這種方法最大的問題是闖入者很容易就可以檢測到我們正在使用防火墻，因為我們的機器沒有應(yīng)答標(biāo)準(zhǔn) TCP復(fù)位和 ICMP端口不可到達響應(yīng)，因為向一般機器發(fā)送會響應(yīng)，用于表示對不存在服務(wù)的連接失敗。

3.5 提供有狀態(tài)服務(wù)

雖然我們要接受一些進入連接，但我們可能并不想接受所有進入連接。最好從“缺省拒絕”策略開始（就象我們現(xiàn)在使用的策略），逐漸開放對那些希望人們可以連接的服務(wù)的訪問，如 HTTP，SSH，F(xiàn)TP 等。

3.6 編輯及運行防火墻腳本

以上詳細(xì)介紹了防火墻的整個配置過程，如果要停止防火墻，使用“iptables-FINPUT”將清除 INPUT 鏈，然后使用“iptables-P INPUT ACCEPT”命令使缺省 INPUT策略切換回 ACCEPT；用“iptables-t nat-F POSTROUTING”命令清除NAT規(guī)則。

如果使用這個腳本，先修改腳本的權(quán)限，輸入”chmod 777 firewall”命令使之具有可執(zhí)行權(quán)限，然后可以通過輸入“/bin/firewall stop”來停止防火墻，通過輸入 ＂/bin/firewall start＂再啟動它。

3.7 檢驗防火墻及NAT

編輯完防火墻腳本后，我們將分別檢驗防火墻及NAT是否生效。

啟動防火墻前，通過IP地址為202.194.68.55的主機可以“ping”到我們的機器，同時，我們也可以“ping”到對方。當(dāng)啟動防火墻后，輸入“iptables-L”命令，可以看到我們想要的防火墻規(guī)則均已顯示出來了；輸入“iptables-L-t nat”命令，可以顯示出我們的 NAT配置。此時，對方已經(jīng)無法“ping”到我們的主機，而我們可以“ping”到對方，這說明防火墻已經(jīng)生效。

4 需要改進之處

在以上的設(shè)計中，我們是通過對Linux操作系統(tǒng)下iptables命令的操作來完成NAT防火墻設(shè)置的。但由于iptables有許多表和鏈，在大多數(shù)報文經(jīng)過這些表和鏈的規(guī)則時，則會明顯的降低防火墻的響應(yīng)速度，使得防火墻的吞吐能力打大折扣，因此，在實踐中需要通過與代理服務(wù)防火墻結(jié)合使用來提高其安全性能，當(dāng)然如在本系統(tǒng)之前使用硬件防火墻與之配合，就能有效防止DDOS攻擊和端口映射，加上Linux的NAT防火墻在對報文的處理時，盡可能減少報文平均經(jīng)過規(guī)則的數(shù)量的方法來優(yōu)化防火墻的性能，這樣就能建立起一套相對完整的防火墻系統(tǒng)，以實現(xiàn)對系統(tǒng)的全方位的防護。

5 結(jié)束語

Linux操作系統(tǒng)下的iptables可以編寫功能強大的防火墻，能按照系統(tǒng)設(shè)定的安全策略對防火墻進行過濾，具有配置方便、運行速度快、系統(tǒng)功能強大等優(yōu)點，但也存在一些缺點，需進一步完善其功能和優(yōu)化，最好采用混合防火墻來保證內(nèi)部網(wǎng)絡(luò)安全。