第2章

Linux网络防火墙

网络防火墙（Network Firewall）是一种网络安全系统，它监控并依据预定义的规则控制进入和外发的网络流量。

对于服务器系统来说，按照纵深防御的原则，使用网络防火墙进行防护是除了保障物理安全之外必须实施的控制措施。

在诸多相关信息安全规范和指南中也特别强调网络控制的实践。例如，在《ISO/IEC 27001:2005 信息安全管理体系规范与使用指南》的“A.10.6.1网络控制的控制措施”中指出，应确保网络充分的管理和控制，以防范威胁、保护使用网络的系统和应用维护安全，包括传输的信息。

本章将介绍网络防火墙的基本原理，并讲解利用iptables、Cisco防火墙、TCP Wrappers和DenyHosts构筑网络防护措施的技术。接下来介绍在公有云上实施网络安全控制的措施以及使用堡垒机进一步加强网络安全的实践。随后介绍分布式拒绝服务攻击（Distributed Denial of Service，DDoS）的防护措施。在本章的最后部分将介绍局域网中ARP欺骗攻击的模型和防御方案。

2.1　网络防火墙概述

在国际标准化组织（International Organization for Standardization，ISO）的开放系统互联参考模型（Open System Interconnection Reference Model）中，网络互联模型分为7层，如表2-1所示。

表2-1　国际标准化组织的开放系统互联参考模型

一般来说，网络防火墙工作在表2-1所示的第3层和第4层，它根据预定义规则中的上层协议或来源地址、目的地址、来源端口、目的端口来进行放行或者禁止的动作。

按照许可协议类型，网络防火墙可分为商业防火墙和开源防火墙两大类。

大多数商业防火墙以硬件的形式提供给客户，其通过运行在专有硬件上的专有操作系统来实现网络控制。典型的商业防火墙产品有：

Cisco自适应安全设备（Adaptive Security Appliance，ASA）

Juniper安全业务网关（Secure Services Gateway，SSG）

华为统一安全网关（Unified Security Gateway，USG）

开源防火墙一般以开源软件的形式提供授权。典型的开源防火墙包括Linux iptables、FreeBSD IPFW和PF防火墙等。

值得一提的是，网络防火墙只是整个安全防护体系中的一部分，虽然其具有重要的、无可替代的作用，但是也有一定的局限性。

不能防止自然或者人为的故意破坏。网络防火墙无法阻止对基础设施的物理损坏，不管这种损坏是由自然现象引起的还是人为原因所导致的。

不能防止受病毒感染的文件的传输。受病毒感染的文件经常通过电子邮件、社交工具（例如，即时通信工具）、网站访问的形式传播，而这些途径都是基于正常的网络协议，因此网络防火墙是无能为力的。

不能解决来自内部网络的攻击和安全问题。内部发起的网络攻击并未到达网络边界，因此网络防火墙也无法产生作用。

不能防止策略配置不当或者配置错误引起的安全威胁。

不能防止网络防火墙本身安全漏洞所带来的威胁。例如，在2017年下半年，某知名安全厂商的多个防火墙产品被曝存在未授权远程代码执行漏洞（CVE-2017-15944），该漏洞基于其他３个单独漏洞的综合利用，可以通过Web管理端对防火墙实现root身份的未授权远程代码执行攻击。

基于以上对网络防火墙的局限性分析，我们可以知道，在依赖网络防火墙提供的安全保障服务的基础上，也应该构建多层次、全面保障的纵深防御体系。