掌握防火墻的工作原理,以及如何設(shè)置防火墻來提高 linux 的安全性
-- Seth Kenlon(作者)
所有人都聽說過防火墻(哪怕僅僅是在網(wǎng)絡(luò)犯罪片里看到過相關(guān)的情節(jié)設(shè)定),很多人也知道他們的計算機里很可能正運行著防火墻,但是很少有人明白在必要的時候如何駕馭防火墻。
防火墻被用來攔截那些不請自來的網(wǎng)絡(luò)流量,然而不同網(wǎng)絡(luò)需要的安全級別也不盡相同。比如說,和在外面一家咖啡館里使用公共 WiFi 相比,你在家里的時候可以更加信任網(wǎng)絡(luò)里的其它計算機和設(shè)備。你或許希望計算機能夠區(qū)分可以信任和不可信任的網(wǎng)絡(luò),不過最好還是應該學會自己去管理(或者至少是核實)你的安全設(shè)置。
防火墻的工作原理
網(wǎng)絡(luò)里不同設(shè)備之間的通信是通過一種叫做 端口(port)的網(wǎng)關(guān)實現(xiàn)的。這里的端口指的并不是像 USB 端口 或者 HDMI 端口這樣的物理連接。在網(wǎng)絡(luò)術(shù)語中,端口是一個純粹的虛擬概念,用來表示某種類型的數(shù)據(jù)到達或離開一臺計算機時候所走的路徑。其實也可以換個名字來稱呼,比如叫“連接”或者“門口”,不過 早在 1981 年的時候 它們就被稱作端口了,這個叫法也沿用至今。其實端口這個東西沒有任何特別之處,只是一種用來指代一個可能會發(fā)生數(shù)據(jù)傳輸?shù)牡刂返姆绞健?/p>
1972 年,發(fā)布了一份 端口號列表 (那時候的端口被稱為“ 套接字(socket)”),并且從此演化為一組眾所周知的標準端口號,幫助管理特定類型的網(wǎng)絡(luò)流量。比如說,你每天訪問網(wǎng)站的時候都會使用 80 和 443 端口,因為互聯(lián)網(wǎng)上的絕大多數(shù)人都同意(或者是默認)數(shù)據(jù)從 web 服務器上傳輸?shù)臅r候是通過這兩個端口的。如果想要驗證這一點,你可以在使用瀏覽器訪問網(wǎng)站的時候在 URL 后面加上一個非標準的端口號碼。比如說,訪問 example.com:42 的請求會被拒絕,因為 example.com 在 42 端口上并不提供網(wǎng)站服務。
Navigating to a nonstandard port produces an erro
如果你是通過 80 端口訪問同一個網(wǎng)站,就可以(不出所料地)正常訪問了。你可以在 URL 后面加上 :80 來指定使用 80 端口,不過由于 80 端口是 HTTP 訪問的標準端口,所以你的瀏覽器其實已經(jīng)默認在使用 80 端口了。
當一臺計算機(比如說 web 服務器)準備在指定端口接收網(wǎng)絡(luò)流量的時候,保持該端口向網(wǎng)絡(luò)流量開放是一種可以接受的(也是必要的)行為。但是不需要接收流量的端口如果也處在開放狀態(tài)就比較危險了,這就是需要用防火墻解決的問題。
安裝 firewalld
有很多種配置防火墻的方式,這篇文章介紹 firewalld 。在桌面環(huán)境下它被集成在 網(wǎng)絡(luò)管理器(Network Manager)里,在終端里則是集成在 firewall-cmd 里。很多 Linux 發(fā)行版都預裝了這些工具。如果你的發(fā)行版里沒有,你可以把這篇文章當成是管理防火墻的通用性建議,在你所使用的防火墻軟件里使用類似的方法,或者你也可以選擇安裝 firewalld。
比如說在 Ubuntu 上,你必須啟用 universe 軟件倉庫,關(guān)閉默認的 ufw 防火墻,然后再安裝 firewalld:
$ sudo systemctl disable ufw
$ sudo add-apt-repository universe
$ sudo apt install firewalld
Fedora、centos、RHEL、OpenSUSE,以及其它很多發(fā)行版默認就包含了 firewalld。
無論你使用哪個發(fā)行版,如果希望防火墻發(fā)揮作用,就必須保持它在開啟狀態(tài),并且設(shè)置成開機自動加載。你應該盡可能減少在防火墻維護工作上所花費的精力。
$ sudo systemctl enable --now firewalld
使用網(wǎng)絡(luò)管理器選擇區(qū)域
或許你每天都會連接到很多不同的網(wǎng)絡(luò)。在工作的時候使用的是一個網(wǎng)絡(luò),在咖啡館里是另一個,在家里又是另一個。你的計算機可以判斷出哪一個網(wǎng)絡(luò)的使用頻率比較高,但是它并不知道哪一個是你信任的網(wǎng)絡(luò)。
一個防火墻的 區(qū)域(zone)里包含了端口開放和關(guān)閉的預設(shè)規(guī)則。你可以通過使用區(qū)域來選擇一個對當前網(wǎng)絡(luò)最適用的策略。
你可以打開網(wǎng)絡(luò)管理器里的連接編輯器(可以在應用菜單里找到),或者是使用 nm-connection-editor & 命令以獲取所有可用區(qū)域的列表。
Network Manager Connection Editor
在網(wǎng)絡(luò)連接列表中,雙擊你現(xiàn)在所使用的網(wǎng)絡(luò)。
在出現(xiàn)的網(wǎng)絡(luò)配置窗口中,點擊“通用”標簽頁。
在“通用”面板中,點擊“防火墻區(qū)域”旁邊的下拉菜單以獲取所有可用區(qū)域的列表。
Firewall zones
也可以使用下面的終端命令以獲取同樣的列表:
$ sudo firewall-cmd --get-zones
每個區(qū)域的名稱已經(jīng)可以透露出設(shè)計者創(chuàng)建這個區(qū)域的意圖,不過你也可以使用下面這個終端命令獲取任何一個區(qū)域的詳細信息:
$ sudo firewall-cmd --zone work --list-all
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports:
protocols:
[...]
在這個例子中,work 區(qū)域的配置是允許接收 SSH 和 DHCPv6-client 的流量,但是拒絕接收其他任何用戶沒有明確請求的流量。(換句話說,work 區(qū)域并不會在你瀏覽網(wǎng)站的時候攔截 HTTP 響應流量,但是 會 攔截一個針對你計算機上 80 端口的 HTTP 請求。)
你可以依次查看每一個區(qū)域,弄清楚它們分別都允許什么樣的流量。比較常見的有:
- work:這個區(qū)域應該在你非常信任的網(wǎng)絡(luò)上使用。它允許 SSH、DHCPv6 和 mDNS,并且還可以添加更多允許的項目。該區(qū)域非常適合作為一個基礎(chǔ)配置,然后在此之上根據(jù)日常辦公的需求自定義一個工作環(huán)境。
- public: 用在你不信任的網(wǎng)絡(luò)上。這個區(qū)域的配置和工作區(qū)域是一樣的,但是你不應該再繼續(xù)添加其它任何允許項目。
- drop: 所有傳入連接都會被丟棄,并且不會有任何響應。在不徹底關(guān)閉網(wǎng)絡(luò)的條件下,這已經(jīng)是最接近隱形模式的配置了,因為只允許傳出網(wǎng)絡(luò)連接(不過隨便一個端口掃描器就可以通過傳出流量檢測到你的計算機,所以這個區(qū)域并不是一個隱形裝置)。如果你在使用公共 WiFi,這個區(qū)域可以說是最安全的選擇;如果你覺得當前的網(wǎng)絡(luò)比較危險,這個區(qū)域也一定是最好的選擇。
- block: 所有傳入連接都會被拒絕,但是會返回一個消息說明所請求的端口被禁用了。只有你主動發(fā)起的網(wǎng)絡(luò)連接是被允許的。這是一個友好版的 drop 區(qū)域,因為雖然還是沒有任何一個端口允許傳入流量,但是說明了會拒絕接收任何不是本機主動發(fā)起的連接。
- home: 在你信任網(wǎng)絡(luò)里的其它計算機的情況下使用這個區(qū)域。該區(qū)域只會允許你所選擇的傳入連接,但是你可以根據(jù)需求添加更多的允許項目。
- internal: 和工作區(qū)域類似,該區(qū)域適用于內(nèi)部網(wǎng)絡(luò),你應該在基本信任網(wǎng)絡(luò)里的計算機的情況下使用。你可以根據(jù)需求開放更多的端口和服務,同時保持和工作區(qū)域不同的一套規(guī)則。
- trusted: 接受所有的網(wǎng)絡(luò)連接。適合在故障排除的情況下或者是在你絕對信任的網(wǎng)絡(luò)上使用。
你可以為你的任何一個網(wǎng)絡(luò)連接都指定一個區(qū)域,并且對于同一個網(wǎng)絡(luò)的不同連接方式(比如以太網(wǎng)、WiFi 等等)也可以指定不同的區(qū)域。
選擇你想要的區(qū)域,點擊“保存”按鈕提交修改。
Setting a new zone
養(yǎng)成為網(wǎng)絡(luò)連接指定區(qū)域的習慣的最好辦法是從你最常用的網(wǎng)絡(luò)開始。為你的家庭網(wǎng)絡(luò)指定家庭區(qū)域,為工作網(wǎng)絡(luò)指定工作區(qū)域,為你最喜歡的圖書館或者咖啡館的網(wǎng)絡(luò)指定公關(guān)區(qū)域。
一旦你為所有常用的網(wǎng)絡(luò)都指定了一個區(qū)域,在之后加入新的網(wǎng)絡(luò)的時候(無論是一個新的咖啡館還是你朋友家的網(wǎng)絡(luò)),試圖也為它指定一個區(qū)域吧。這樣可以很好地讓你意識到不同的網(wǎng)絡(luò)的安全性是不一樣的,你并不會僅僅因為使用了 Linux 而比任何人更加安全。
默認區(qū)域
每次你加入一個新的網(wǎng)絡(luò)的時候,firewalld 并不會提示你進行選擇,而是會指定一個默認區(qū)域。你可以在終端里輸入下面這個命令來獲取你的默認區(qū)域:
$ sudo firewall-cmd --get-default
public
在這個例子里,默認區(qū)域是 public 區(qū)域。你應該保證該區(qū)域有非常嚴格的限制規(guī)則,這樣在將它指定到未知網(wǎng)絡(luò)中的時候才比較安全。或者你也可以設(shè)置你自己的默認區(qū)域。
比如說,如果你是一個比較多疑的人,或者需要經(jīng)常接觸不可信任的網(wǎng)絡(luò)的話,你可以設(shè)置一個非常嚴格的默認區(qū)域:
$ sudo firewall-cmd --set-default-zone drop
success
$ sudo firewall-cmd --get-default
drop
這樣一來,任何你新加入的網(wǎng)絡(luò)都會被指定使用 drop 區(qū)域,除非你手動將它制定為另一個沒有這么嚴格的區(qū)域。
通過開放端口和服務實現(xiàn)自定義區(qū)域
Firewalld 的開發(fā)者們并不是想讓他們設(shè)定的區(qū)域能夠適應世界上所有不同的網(wǎng)絡(luò)和所有級別的信任程度。你可以直接使用這些區(qū)域,也可以在它們基礎(chǔ)上進行個性化配置。
你可以根據(jù)自己所需要進行的網(wǎng)絡(luò)活動決定開放或關(guān)閉哪些端口,這并不需要對防火墻有多深的理解。
預設(shè)服務
在你的防火墻上添加許可的最簡單的方式就是添加預設(shè)服務。嚴格來講,你的防火墻并不懂什么是“服務”,因為它只知道端口號碼和使用協(xié)議的類型。不過在標準和傳統(tǒng)的基礎(chǔ)之上,防火墻可以為你提供一套端口和協(xié)議的組合。
比如說,如果你是一個 web 開發(fā)者并且希望你的計算機對本地網(wǎng)絡(luò)開放(這樣你的同事就可以看到你正在搭建的網(wǎng)站了),可以添加 http 和 https 服務。如果你是一名游戲玩家,并且在為你的游戲公會運行開源的 murmur 語音聊天服務器,那么你可以添加 murmur 服務。還有其它很多可用的服務,你可以使用下面這個命令查看:
$ sudo firewall-cmd --get-services
amanda-client amanda-k5-client bacula bacula-client
bgp bitcoin bitcoin-rpc ceph cfengine condor-collector
ctdb dhcp dhcpv6 dhcpv6-client dns elasticsearch
freeipa-ldap freeipa-ldaps ftp [...]
如果你找到了一個自己需要的服務,可以將它添加到當前的防火墻配置中,比如說:
$ sudo firewall-cmd --add-service murmur
這個命令 在你的默認區(qū)域里 添加了指定服務所需要的所有端口和協(xié)議,不過在重啟計算機或者防火墻之后就會失效。如果想讓你的修改永久有效,可以使用 --permanent 標志:
$ sudo firewall-cmd --add-service murmur --permanent
你也可以將這個命令用于一個非默認區(qū)域:
$ sudo firewall-cmd --add-service murmur --permanent --zone home
端口
有時候你希望允許的流量并不在 firewalld 定義的服務之中。也許你想在一個非標準的端口上運行一個常規(guī)服務,或者就是想隨意開放一個端口。
舉例來說,也許你正在運行開源的 虛擬桌游 軟件 MapTool 。由于 MapTool 服務器應該使用哪個端口這件事情并沒有一個行業(yè)標準,所以你可以自行決定使用哪個端口,然后在防火墻上“開一個洞”,讓它允許該端口上的流量。
實現(xiàn)方式和添加服務差不多:
$ sudo firewall-cmd --add-port 51234/tcp
這個命令 在你的默認區(qū)域 里將 51234 端口向 TCP 傳入連接開放,不過在重啟計算機或者防火墻之后就會失效。如果想讓你的修改永久有效,可以使用 --permanent 標志:
$ sudo firewall-cmd --add-port 51234/tcp --permanent
你也可以將這個命令用于一個非默認區(qū)域:
$ sudo firewall-cmd --add-port 51234/tcp --permanent --zone home
在路由器的防火墻上設(shè)置允許流量和在本機上設(shè)置的方式是不同的。你的路由器可能會為它的內(nèi)嵌防火墻提供一個不同的配置界面(原理上是相同的),不過這就超出本文范圍了。
移除端口和服務
如果你不再需要某項服務或者某個端口了,并且設(shè)置的時候沒有使用 --permanent 標志的話,那么可以通過重啟防火墻來清除修改。
如果你已經(jīng)將修改設(shè)置為永久生效了,可以使用 --remove-port 或者 --remove-service 標志來清除:
$ sudo firewall-cmd --remove-port 51234/tcp --permanent
你可以通過在命令中指定一個區(qū)域以將端口或者服務從一個非默認區(qū)域中移除。
$ sudo firewall-cmd --remove-service murmur --permanent --zone home
自定義區(qū)域
你可以隨意使用 firewalld 默認提供的這些區(qū)域,不過也完全可以創(chuàng)建自己的區(qū)域。比如如果希望有一個針對游戲的特別區(qū)域,你可以創(chuàng)建一個,然后只有在玩兒游戲的時候切換到該區(qū)域。
如果想要創(chuàng)建一個新的空白區(qū)域,你可以創(chuàng)建一個名為 game 的新區(qū)域,然后重新加載防火墻規(guī)則,這樣你的新區(qū)域就啟用了:
$ sudo firewall-cmd --new-zone game --permanent
success
$ sudo firewall-cmd --reload
一旦創(chuàng)建好并且處于啟用狀態(tài),你就可以通過添加玩游戲時所需要的服務和端口來實現(xiàn)個性化定制了。
勤勉
從今天起開始思考你的防火墻策略吧。不用著急,可以試著慢慢搭建一些合理的默認規(guī)則。你也許需要花上一段時間才能習慣于思考防火墻的配置問題,以及弄清楚你使用了哪些網(wǎng)絡(luò)服務,不過無論是處在什么樣的環(huán)境里,只要稍加探索你就可以讓自己的 Linux 工作站變得更為強大。
via: https://opensource.com/article/19/7/make-linux-stronger-firewalls
作者: Seth Kenlon 選題: lujun9972 譯者: chen-ni 校對: wxy
本文由 LCTT 原創(chuàng)編譯, Linux中國 榮譽推出
