防火墙设计的基本原理.docxVIP

摘要：本文将向读者介绍IP Filter防火墙，同时也将介绍一些防火墙设计的基本原理。一．引言1． IP Filter是一款很棒的小型防火墙。与其他一些免费防火墙相比（ipfwadm, ipchains, ipfw），它更加小巧并且设计优雅。本文将系统地向读者介绍IP Filter防火墙。本文还将在使用规则方面介绍各种包过滤防火墙的相同点和不同点。如果你在以前对包过滤防火墙有一点认识的话你会发现那是非常有用的。当然如果你对此非常熟悉的话，你反而会觉得这篇文章在浪费你的时间。对此，我们强烈建议你阅读Chap-man与Zwicky O’Reilly合著的《Building Internet Firewalls》以及Stevens与Addison-Wesley合著的《TCP/IP Illustrated》第一卷.2． 注意：本文旨在介绍如何构建基于IP-Filter的防火墙，作者对因此引起的各种损坏不负责任。如果你不同意，你可以去聘请一位经验丰富的安全专家为你构建防火墙。3． 本文的版权归本文作者所有，任何复制与翻译请保留此版权声明。IP-Filter的官方主页：.au/~avalon/BSD平台下的IP-Filter：http://www.benzedrine.cx/pf.html本文的必威体育精装版版本可在如下网址找到/ipf/二．的防火墙都具备的，本章的基础知识对后续章节的阅读很有帮助，但必须明白的是仅仅防火墙基础知识本章将使你对IP Filter的规则与防火墙理论有个总体认识，文中涉及到的所有功能是所有设计优秀阅读本章还是不够的，要想构建一个高效安全的系统，你还需要认真阅读后续章节。1． 配置文件IP-Filter有一个配置文件（与那些逐条执行命令的不同），在Unix下配置文件每条规则为一行，有“#”标志的表明是注释，规则与注释可以在同一行，并且允许空格存在，以增强可读性。2． 基本规则的处理所有规则都将被由上至下而执行。这意味着如果你的配置文件如下：block in allpass in all 计算机将这样处理：block in allpass in all 也就是说当有一个包进来，IP-Filter所做的第一件事是：block in all 如果IP-Filter认为有必要，它会移向下一条规则并执行它：pass in all 此时你可能要问：“IP-Filter会移向下一条规则吗？”如果你对ipfwadm和ipfw熟悉的话，可能你就不会问了，并被搞得晕头转向，因为有的包不该通过却通过了而不该禁止的却被禁止了。许多包过滤防火墙都是在执行到与规则匹配时就不再继续将包与规则进行比较了，但IP-Filter不是这样。除非你强行中断，否则它会将包与所有规则进行比较，是否允许包通过取决于最后一条匹配的规则。在上例中，IP-Filter先看看包，再看看第一条规则：block in all IP-Filter想：“到目前为止，我想应该禁止这个包，”然后它又看看第二条规则：Pass in all “到目前为止，我想应该让这个包通过，”IP-Filter又看看第三条规则，已经没有规则了，所以它让这个包通过了。应该指出，即使规则如下包仍能通过：block in allblock in allblock in allblock in allpass in all 也就是说，没有累积效应，最后匹配的规则拥有优先权。3． 特殊规则的处理如果你对其它包过滤防火墙熟悉的话，你会觉得这种设计令人头晕，不够简洁并且处理速度不高。设想，你有100条规则，其中常用的是前10条，如果每个包到来时都让它全部比较的话会令事情变得很糟糕。幸运的是有一个关键词quick可以避免这种情况发生。如果有如下规则：block in quick allpass in all 这种情况下IP-Filter先看看第一条规则：block in quick all 数据包与规则匹配，检查结束，包将被毫无疑问的丢掉，没有记录，没有警告，什么都没有，下一条规则：pass in all 计算机根本就没遇到，它就如同不在配置文件里一样，前面规则中的终止关键词quick使得后面的规则失效。在这里IP-Filter虽然干得不错，但所有包都被丢掉了，为了使一些包通过，我们得做些修改。4． IP控制有很多标准可用于包过滤，最常用的是基于IP的，有很多IP地址是在公共网络传输时永远都不会遇到的，比如：/16（16是子网掩码，如果以十进制并带点的形式写出也许你会更熟悉，两种方式IP-Filter都接受）。如果你想禁止/16，你可以这样：block in quick from /16 to anypass in all 现在我们有了一条实用的规则了，想象一下，如果有一个包从来，检查第一条规则：block in q