第十一章安全管理

第11章安全管理本章主要讲述Linux下的Netfilter安全子系统的结构、功能，以及Iptables工具的使用;IpsecVPN的结构、分类及设置方法。学习目标：了解安全威胁熟悉Netfilter的特点和结构掌握Iptables的使用掌握IPsecVPN的设置11.1计算机面临的安全威胁概述目前网络中存在的对信息系统构成的威胁主要表现在如下几个方面：非授权访问：没有预先经过同意或认可，就使用网络或计算机资源被看作非授权访问，或擅自扩大权限，越权访问信息等。计算机网络面临的安全威胁主要有：信息泄漏或丢失；破坏数据完整性；恶意添加、修改数据；拒绝服务攻击；网络病毒及木马。11.2Linux下的防火墙11.2.1常见的防火墙类型常见的防火墙有以下三种类型1.网络地址转换（NAT）型防火墙2.包过滤（Packetfilter）型防火墙3.代理（proxy）型防火墙11.2.2Iptables概述Netfilter是集成到Linux2.4及以后版本核心中的安全子系统，可以提供包过滤、网络地址转换、端口地址转换和其他的包处理功能。Iptables有一个通用的表结构用来存放各种规则，表里的每一条规则包含两部分：一个分类器和一个相关联的动作，在Netfilter中动作也被称作目标。Iptables的主要特征：支持IPv4和IPv6的无状态包过滤；支持IPv4和IPv6的有状态包过滤；支持IPv4的网络地址转换和端口转换(NAT和NAPT)；灵活、可扩展的架构；为第三方提供了多个层次的API接口；丰富的模块/插件利用Netfilter可以完成的工作：基于有状态或者无状态包过滤技术构建Internet防火墙；利用NAT和伪装技术为内部私有地址网络提供外部网络连接；利用NAT技术实现透明代理；配合Iproute2系统，可以构建复杂的QoS和策略路由；对数据包做进一步的操作，如修改IP头中的TOS/DECP/ECN标志。11.2.3图形界面的防火墙设置工具在Gnome中选择菜单“系统”|“管理”|“安全级和防火墙”，或者直接在终端窗口中执行，命令如下：[root@localhost~]#system-config-selinux此工具只能对防火墙做基本的设置，如图11-1所示，如果要做复杂的设置，必需使用命令行工具Iptalbes。图11-1SeLinux设置在图形界面中，如果要开放某种服务，可以选中该服务，也可以把要开放的服务所用的端口号加入“otherports”。防火墙的配置文件为/etc/sysconfig/iptables。实际上图形界面和Iptables的控制作用是一样的。11.2.4Iptables的安装11.2.5启动和停止服务启动Iptables的服务:#/sbin/serviceiptablesstart重启动Iptables的服务:#/sbin/serviceiptablesrestart设置为系统启动时自动启动该服务:#/sbin/chkconfig–level345iptableson停止该服务：＃/sbin/serviceipchainsstop11.2.6Iptables规则的的保存和和恢复iptables-save用来保保存当前前内存空空间的策策略，iptables-restore用来将将iptables配配置文件件的策略略写入内内存空间间。iptables-save的命令令格式如如下：＃iptables-save––c>/etc/sysconfig/iptables或或者＃seviceiptablessave该命令表表示将内内存中的的规则写写入/etc/sysconfig/iptables文件中中，同时时将当前前内存中中针对每每条策略略的流量量统计值值写入该该文件。。＃iptables-save––tnat>/etc/sysconfig/iptables这条命令令只保存存当前内内存中的的nat表。＃iptables-restore</etc/sysconfig/iptables这条命令令表明将将/etc/sysconfig/iptables配配置文件件中的内内容写入入内存空空间，并并覆盖当当前内存存空间中中的所有有配置。。如果不不希望更更改当前前内存空空间中的的配置，，可以添添加-n参数，，如下：：＃iptables-restore––n/etc/sysconfig/iptables这表明配配置文件件只将内内存空间间中没有有的策略略添加到到内存空空间。另一种运运行iptables的方法法是使用用脚本。。11.2.7Netfilter的工作作原理和和基础结结构1.Netfilter的的工作原原理Netfilter分分为两部部分：核核心空间间和用户户空间。。在核心心空间，，Netfilter从底层层实现了了数据包包过滤的的各种功功能，比比如NAT、状状态检测测以及高高级的数数据包策策略匹配配等；在在用户空空间，Netfilter为为用户提提供了控控制核心心空间工工作状态态的命令令集。当一个包包从以太太网卡进进入防火火墙，Netfilter会会对包进进行处理理，当包包匹配了了某个表表的一条条规则的的时，会会触发一一个目标标或动作作。ACCPET：：余下的的规则不不再进行行匹配而而直接将将数据包包导向目目的地；；DROP：数据据包被阻阻止，并并且不向向源主机机发送任任何回应应信息；；QUEUE：该该数据包包被传递递到用户户空间；；REJECT：：数据包包被丢弃弃，并且且向源主主机发送送一个错错误信息息。每条链都都有一个个默认的的策略，，可以是是ACCEPT、DROP、、REJECT或者QUEUE。2．基础础结构Netfilter中中有三类类表，分分别是filter、、nat和mangle，每每个表里里包含若若干个链链(chains)，，每条链链里包含含若干条条规则(rules)。Linux系统收收到的或或送出的的数据包包，至少少要经过过一个表表，一个个数据包包也可能能经过每每个表里里的多个个规则，，这些规规则的结结构和目目标可以以很不相相同，但但都可以以对进入入或者送送出本机机的数据据包的特特定IP地址或或IP地地址集合合进行控控制。特特别强调调Iptables不不依赖于于DNS进行工工作，所所以在Iptables规则则中不能能出现域域名，只只能是IP地址址，关系系如图11-2所示。。图11-2Netfilter的数据据包处理理结构11.2.8Iptables语法规规则Iptables的语语法如下下：Iptalbes[-t要要操操作的表表]<操作命命令>[要操作作的链][规则的的标识号号][匹配条条件][-j匹匹配以以后要进进行的动动作]操作命令令及使用用形式：：-A：APPEND，，在指定定链的末末尾添加加一条新新规则。。命令形式式：-A<链名名>【例1】】在filter表的的INPUT链链的末尾尾追加一一条规则则。＃iptables––tfilter––AINPUT––jDROP-I：Insert，，在指定定的链里里插入一一条新规规则。命令形式式：－I<链链名>[规则号号码]【例2】】在filter表的的INPUT链链的链首首插入一一条规则则。#iptables––tfilter-IINPUT-JACCEPT因为filter是默默认的表表，所以以上边的的命令也也可以写写成：#iptables-IINPUT-JACCEPT【例3】】在filter表的的INPUT链链里插入入一条新新规则，，序号为为5。。#iptables-tfilter-IINPUT5ACCEPT-D：删删除指定定的规则则。若规规则列表表中有多多条内容容相同的的规则，，则只删删除第一一条；必必需保证证被删除除的规则则是存在在的，否否则报错错。命令形式式：-D<链链名><规规则号码码|规则则的具体体内容>【例4】】删除filter表表的第5条规则则。#iptables––tfilter-DINPUT5【例5】】从INPUT链中删删除内容容为“-s37––jDROP”的的规则。。#iptables––tfilter-DINPUT-s37–jDROP-P：Policy，，设置某某个链的的默认规规则。命令形式式：-P<链链名><动动作>#iptables––tfilter–PINPUTREJECT当数据包包没有被被链的所所有规则则匹配时时，则按按链的默默认规则则处理。。此规则则前不能能加“-j”参参数。-F：清清空指定定表里的的所有规规则。【例6】】清空filter表表的所有有规则。。#iptables––F【例7】】清空nat表表里POSTROUTING链里的的所有规规则。#iptables––tnat-FPOSTROUTING-R:REPLACE，替替换指定定的规则则。命令形式式：-R<链链名><规则则号码><规规则内容容>11.2.9Iptables的状态态机制iptables共有有四种状状态，分分别被称称为NEW、ESTABLISHED、INVALID、RELATED，，这四种种状态对对于TCP、UDP、、ICMP三种种协议均均有效。。NEW：：说明这这个包是是防火墙墙收到的的第一个个包，这这是conntrack模块块看到的的某个连连接的第第一个包包。ESTABLISHED：已已经注意意到两个个方向上上的数据据传输，，而且会会继续匹匹配这个个连接的的包。只只要发送送并接到到应答，，连接就就是ESTABLISHED的。一一个连接接要从NEW变变为ESTABLISHED，只需需要接到到应答包包即可，，不管这这个包是是发往防防火墙的的，还是是要由防防火墙转转发的。。ICMP的错错误和重重定向等等信息包包也被看看作是ESTABLISHED，只只要它们们是用户户所发出出的信息息的应答答。RELATED：当一一个连接接和某个个已处于于ESTABLISHED状状态的连连接有关关系时，，就被认认为是RELATED的了。。也就是是说一个个连接要要想是RELATED的，首首先要有有一个ESTABLISHED的连连接。这这个ESTABLISHED连接再再产生一一个主连连接之外外的连接接，这个个新的连连接就是是RELATED的。。INVALID：说明明数据包包不能被被识别属属于哪个个连接或或没有任任何状态态。有几几个原因因可以产产生这种种情况，，比如内内存溢出出、收到到不知属属于哪个个连接的的ICMP错误误信息等等。一般般地，系系统丢弃弃（DROP））这个状状态的任任何东西西，因为为防火墙墙认为这这是不安安全的。。Netfilter可可以根据据连接的的状态对对数据包包进行过过滤，这这是一个个非常好好的特性性。11.2.10配置置实例iptables的所所有命令令都是以以iptables开开头，其其总体的的命令结结构如下下：iptables[-ttable]command[match][target/jump]1．限制制内网用用户访问问外网使用的参参数：Filter表表的FORWARD链链匹配条件件参数：：-s、–d、-p、、–sport和––port。目标：ACCEPT或或DROP2.对外外网开放放内部服服务器需要提前前准备好好如下参参数：服务协议议(TCP/UDP)对外服务务的端口口内部服务务的私网网IP内部服务务的服务务端口【例29】从ppp0接口进进来的、、目标端端口是80的数数据包，，将其目目的地址址修改为为内部服服务器的的私网IP00#iptables––tnat–APREROUTING-Ippp0––ptcp–dport80––jDNAT–to00【例30】从ppp0接口进进来的、、目标端端口是90的数数据包，，将其目目的地址址修改为为内部FTP服服务器的的私网IP99:21#iptables––tnat–APREROUTING-Ippp0––ptcp–dport90––jDNAT–to99:213.综合合例子【例31】有若若干台计计算机共共享一个个Internet连连接时时，就能能用到nat，，而且这这也是绝绝大多数数企业用用户所采采用的Internet互联联方案。。先在内内核里打打开ip转发功功能，然然后再写写一个SNAT规则，，就可以以把所有有从本地地网络出出去的包包的源地地址改为为Internet连连接的地地址了。。SNATtarget的作用就是是让所有从本本地网出发的的包看起来都都是从一台机机子发出的。。SNAT只只能用在nat表的POSTROUTING链链里，只要连连接的第一个个符合条件的的包被SNAT了，那么么这个连接的的其他所有的的包都会自动动地被SNAT,而且这这个规则还会会应用于这个个连接流的所所有数据包。。Linux核心默认情情况是不转发发包的，即转转发标志默认认是“0”，，要打开核心心包转发功能能，就需要把把该标志置为为“1”，有有以下几种方方法：（1）修改/etc/sysct.confl文件中的内内容为如下形形式：#ControlsIPPacketsForwardingnet.ipv4.ip_forward=1//取值值为0表示不不转发（2）#echo“1”>/proc/sys/net/ipv4/ip_forward（3）#sysctl-p/etc/sysctl.conf第（2）种方方式修改后，，只要重新启启动，修改的的状态就丢失失了，可以把把这句化加入入/etc/rc.d/rc.local中，，每次随系统统自动设置。。本例所用的网网络环境如图图11-3所所示。图11-3私私有网络Nat地址转转换【例32】在在上例中进行行SNAT的的配置时需要要指明一个固固定的映射地地址，但如果果用户的网络络使用的是ADSL这种种动态获取IP地址的方方式，SNAT就不适用用了，这时只只能使用MASQUERADE（地地址伪装），，在具体的处处理过程中，，系统需要读读取当前的动动态地址，然然后用当前的的地址对数据据包进行重新新封装：＃iptables––APOSTROUTING––oeth0–s/24––jMASQUERADE或或者＃iptables––APOSTROUTING––oeth0–s/24––jMASQUERADE--to-ports2000-65535参数--to-ports指定了映映射后的源端端口范围。连连接关系如图图11-4所所示。图11-4拨拨号上网动动态Nat转转换11.2.11IP6tablesLinux2.6内核的的Netfilter支支持IPv6协议，在做做各项设置时时，只要把IPv4下的的IPtables命令令替换成为IP6tables即可可。例如：允许源源IPv6地地址为2001::1的的数据包通过过。#ip6tables––AINPUT––ietho–ptcp––s2001::1–dport22–jACCEPTIP6tables并不不支持nat表，无法进进行IPv6的网络地址址翻译，比如如伪装和端口口转发等。IP6tables的规规则存放在/etc/sysconfig/ip6tables文件件中。可以使用脚本本/etc/sysconfig/ip6table-config来初始化IP6table。对Ip6tables的的操作需要安安装iptables-ipv6。。如果系统没没有安装，则则用户可自行行下载安装。。11.3VPN11.3.1VPN概概述虚拟专用网（（VitrualPrivateNetwork，VPN）是一一种广泛应用用的安全解决决方案。是依依靠ISP（（Internet服务务提供商）和和其它NSP（网络服务务提供商），，在公用网络络中建立专用用的数据通信信网络的技术术。在虚拟专专用网中，任任意两个节点点之间的连接接并没有传统统专网所需的的端到端的物物理链路，而而是利用某种种公众网的资资源动态组成成的。目前电信部门门租用的帧中中继（FrameRelay）与与ATM等数数据网络提供供固定虚拟线线路（PVC-PermanentVirtualCircuit）来连接接需要通讯的的单位，所有有的权限掌握握在通讯公司司的手中。而而在Internet上上，VPN使使用者可以控控制自己与其其他使用者的的联系，同时时支持拨号的的用户。我们这里所说说的虚拟专用用网一般指的的是建筑在Internet上能够够自我管理的的专用网络，，而不是FrameRelay或或ATM等提提供虚拟固定定线路（PVC）服务的的网络。以IP为主要通通讯协议的VPN，也可可称之基于IP技术的VPN。11.3.2VPN的分类目前国际上比比较流行的VPN加密协协议主要有IPSec、、PPTP、、L2TP、、MPLS、、SSL等，，RedhatLinux上实现现的主要是基基于IPsec的VPN。IPSec是是InternetProtocolSecurity的缩写，，是IETF（因特网任任务工作组））制订的安全全标准，它把把几种安全技技术结合在一一起形成一个个较为完整的的体系，受到到了众多厂商商的关注和支支持。IPSec用用密码技术从从三个方面来来保证数据的的安全，即：：（1）认证：：用于对主机机和端点进行行身份鉴别；；（2）完整性性检查：用于于保证数据在在通过网络传传输时没有被被修改；（3）加密：：加密IP地地址和数据以以保证私有性性。IPsec有有两种使用形形式：（1）传送模模式。对于AH（AuthenticationHeader）传输模式式，AH报头头位于IP报报头和数据之之间，如图11-6所示示。在这种模模式下，鉴别别的部分仅为为数据，IP地址无法法得到保护，，有受到重播播攻击的危险险。图11-6AH传传输模式ESP(EncapsulationSecurityPayload)的的传送模式，，ESP报头头直接加在欲欲传送的数据据前，这种模模式可节省频频宽。如图11-7所示示。图11-7ESP传传输模式（2）隧道模模式。使用IPSec隧道模式式时，IPSec对IP报头和有效效负载进行加加密，而传输输模式只对IP有效负载载进行加密。。通过将其当当作AH或ESP有效负负载，隧道模模式提供对整整个IP数据据包的保护。。外部IP报报头的IP地地址是隧道终终结点，封装装的IP报头头的IP地址址是最终源地地址与目标地地址。如图11-8和11-9所示示。图11-8AH隧道模式式图11-9ESP隧道模模式IPsec协议的作作用：一是是保护IP数据包的的内容，二二是通过数数据包筛选选并实施受受信任通讯讯来防御网网络攻击。。IPsec的优点：：定义了一一套用于认认证、保护护私有性和和完整性的的标准协议议。支持一一系列加密密算法如DES、三三重DES(3DES)、Blowfish和和IDEA等；检查查传输的数数据包的完完整性，确确保数据没没有被修改改；用来在在多个防火火墙和服务务器之间提提供安全性性；可确保保运行在TCP/IP协议上上的VPNs之间的的互操作性性。IPsec的缺点：：在客户机机/服务器器模式下实实现有一些些问题，在在实际应用用中，需要要公钥来完完成；需要要已知范围围的IP地地址或固定定范围的IP地址，，因此在动动态分配IP地址时时不太适合合于IPSec。除除了TCP/IP协协议外，IPSec不支持其其他协议；；除了包过过滤之外，，它没有指指定其他的的访问控制制方法。11.3.3两两种VPN设置方式式两种基于IPsec的VPN设置方式式:主机到到主机的VPN(HosttoHostVPN,H2HVPN)和网络到到网络的VPN(NetworktoNetworkVPN,N2NVPN)。H2HVPN如图图11-10所示：：图11-10HosttoHostVPNN2NVPN如图图11-11所示图11-11NetworktoNetworkVPN1.主机机到主机的的VPN的的设置H2HVPN可以以在两个系系统之间建建立加密连连接，两个个系统之间间必需使用用相同的认认证密钥，，否则连接接不能建立立。当H2HVPN连接激激活后，两两个之间之之间的所有有数据流量量都被加密密传输。在设置VPN之前，，通讯双方方要事先商商定好采用用的密钥，，双方配置置的密钥必必需相同。。所用连接如如图11-11所示示。VPN的设置要要在物理机机器上进行行，不要远远程进行。。图11-12H2H连接接实例在LinuxSererA上做如如下操作：：（1）单击击系统菜单单“系统””|管理””|网络络”，打打开网络设设置“网络络配置”窗窗口，如图图11-13所示。。也可以在终终端窗口中中输入“system-config-network”命令来来打开该窗窗口。图11-13以以太网卡设设置（2）在““网络配置置”界面，，选择“IPsec”选项卡卡，如图11-14所示。图11-14IPsec状状态显示界界面（3）从““网络配置置”工具栏栏中单击【【新建】按按钮，开始始新建一个个VPN连连接，如图图11-15所示。。图11-15开始始设置IPsec（4）在““IPsec设置置”窗口里里输入的““别名”输输入一个字字符串，该该名字主要要是为VPN连接设设置一个标标识，注意意这个标识识不能和网网络中存在在的网络接接口的名字字重名，设设置一个方方便使用的的名字即可可。H2HVPN通信的主主机不要求求该名字是是相同的。。如果要在计计算机启动动的时间自自动激活VPN连接接，则选中中“当计算算机启动时时激活连接接”项，如如图11-16所示示。图11-16为IPsec连接设置置标识名（5）选择择VPN的的类型，本本节实例单单击【主机机到主机加加密】按钮钮，如图11-17所示。图11-17选择择VPN连连接方式（6）选择择加密方式式。如果单单击了【使使用固定密密钥手工加加密】按钮钮，则在后后续步骤中中需要输入入一个加密密密钥，本本例就是选选择了此选选项；如果果单击了【【通过IKA(racoon)的加密密模式自动动选择】按按钮，则racoon后台进进程会自动动管理加密密密钥，前前提是系统统中必需安安装ipsec-tools包。如下下图11-18所示示。图11-18选择择加密密钥钥管理方式式（7）输入入安全参数数，包含认认证密钥和和加密密钥钥，输入的的数值必需需在256和4294967295之之间。如图图11-19所示。。图11-19设置置VPN的的认证和加加密参数（8）输入入“远程IP地址””和安全参参数。如图图11-20所示。。图11-20设置置VPN连连接的远程程地址和连连接参数（9）输入入认证密钥钥和加密密密钥，密钥钥最好由数数字和字符符组成，并并且要有足足够的长度度，也可以以单击【生生成】按钮钮，而后在在弹出的对对话框中输输入一个简简单密钥，，由程序自自动产生一一个复杂的的密钥，这这样更方便便用户使用用。如图11-21（a）和和11-21（b））所示。11-21（a）认认证和加密密密钥生成成对话框图11-21（b））输入简简单口令句句来生成密密钥若分别用““a”和““b”作为为种子，密密钥生成完完成后的状状态如图11-22所示。图11-22生成成VPN连连接的认证证和加密密密钥（10）设设置的最后后一个步骤骤，显示前前述步骤设设置的VPN参数，，可以供用用户核对。。再设置全全部完成以以后，可以以单击“网网络配置””对话框工工具栏的【【编辑】按按钮来修改改各个参数数。如图11-23所示。图11-23核对对用户设置置的VPN参数（11）全全部设置完完成后的状状态如图11-24所示，选选择“文件件”|““保存””命令，保保存所作的的各项设置置。在终端端窗口中执