基于OPENSENSE的防火墻技術(shù)的實(shí)現(xiàn)

嚴(yán)學(xué)軍

摘要：防火墻可以有效的保護(hù)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)防火墻的方式很多，在經(jīng)費(fèi)不足的情況下可以采用基于軟件的防火墻，OPENSENSE是一款基于軟件實(shí)現(xiàn)的防火墻產(chǎn)品，性能很強(qiáng)，可以實(shí)現(xiàn)的功能很多，本文主要以虛擬化技術(shù)來(lái)構(gòu)建OPENSENSE的工作環(huán)境，介紹使用OPENSENSE實(shí)現(xiàn)防火墻的一些主要功能，包括主要規(guī)則的制定，如內(nèi)訪外、外訪DMZ等控制。

關(guān)鍵詞：防火墻;FreeBSD;OPENSENSE

中圖分類號(hào)：G642? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? 文章編號(hào)：1009-3044（2018）35-0037-02

1 防火墻技術(shù)概述

防火墻技術(shù)可以有效隔離企業(yè)內(nèi)外網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)，減少攻擊發(fā)生的可能性。在實(shí)際應(yīng)用中，防火墻有包過(guò)濾防火墻、應(yīng)用代理防火墻、狀態(tài)檢測(cè)防火墻集中主要技術(shù)。在防火墻部署的時(shí)候，多采用內(nèi)網(wǎng)、外網(wǎng)以及DMZ（非軍事區(qū)，是安全的內(nèi)網(wǎng)和不完全的外網(wǎng)之間的一個(gè)隔離帶）三個(gè)網(wǎng)段來(lái)實(shí)現(xiàn)。通過(guò)合理的規(guī)則控制，控制三個(gè)網(wǎng)段的互訪。一般來(lái)說(shuō)，為了保護(hù)內(nèi)網(wǎng)，通常不允許外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng)，內(nèi)網(wǎng)到外網(wǎng)的訪問(wèn)在規(guī)則控制下應(yīng)該盡量允許。外網(wǎng)可以訪問(wèn)DMZ區(qū)域，但是一般情況下DMZ區(qū)域的計(jì)算機(jī)不能直接訪問(wèn)外網(wǎng)（除非是像郵件服務(wù)器必須連接外網(wǎng)的情況）。內(nèi)網(wǎng)可以訪問(wèn)DMZ區(qū)域，以方便管理，但是從DMZ區(qū)域不能直接訪問(wèn)內(nèi)網(wǎng)，因?yàn)橥饩W(wǎng)訪問(wèn)者如果攻擊到DMZ區(qū)域，例如攻擊DMZ區(qū)域的服務(wù)器，攻擊成功后會(huì)獲得服務(wù)器的系統(tǒng)管理員權(quán)限的shell，這樣就可以通過(guò)DMZ區(qū)域該服務(wù)器去訪問(wèn)內(nèi)網(wǎng)，增加了內(nèi)網(wǎng)的暴露危險(xiǎn)。

防火墻的種類很多，有基于硬件的防火墻，也有基于軟件的防火墻?；诔杀疽蛩兀容^起來(lái)，基于軟件的防火墻更適合一些中小企業(yè)。

2 OPENSENSE介紹

m0n0wall?是一種基于FreeBSD（一個(gè)LINUX發(fā)行版本）的軟件防火墻，它同時(shí)也是一種基于網(wǎng)絡(luò)的防火墻。它提供PHP網(wǎng)頁(yè)支持的用戶界面和豐富的管理功能，可以實(shí)現(xiàn)有狀態(tài)的包過(guò)濾防火墻、VPN（虛擬專用網(wǎng)）、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、流量整形和監(jiān)控、日志記載、支持802.1、兼容VLAN，可以配置多個(gè)接口以實(shí)現(xiàn)多網(wǎng)段管理。OPENSENSE繼承了m0n0wall?的特色，它從2015年開(kāi)始產(chǎn)生并得到很大的發(fā)展，從最早的15.1版本到現(xiàn)在的18.7版本，功能上改進(jìn)了很多，例如增加了用戶證書(shū)，入侵檢測(cè)功能，完善的代理功能等。

OPENSENSE對(duì)硬件的基本要求為處理器支持雙核心的1GHZ，內(nèi)存大于1GB，至少40GB硬盤，串行控制臺(tái)或者視頻，如果可能，硬盤最好100GB以上，且采用固態(tài)硬盤。OPENSENSE支持虛擬化功能，可以在VMWARE上安裝和使用。

3 在虛擬機(jī)上部署基于OPENSENSE的防火墻

拓?fù)浣Y(jié)構(gòu)如圖1所示，在虛擬機(jī)中的虛擬網(wǎng)絡(luò)編輯器中開(kāi)啟三個(gè)虛擬網(wǎng)絡(luò)，分別為VMNET3（主機(jī)模式），VMNET5（主機(jī)模式），VMNET8（設(shè)置為NAT模式），網(wǎng)絡(luò)地址如下圖所示。如果主機(jī)是可以上網(wǎng)的，那么虛擬機(jī)可以通過(guò)虛擬網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)。在圖中一共需要四臺(tái)虛擬機(jī)，一臺(tái)是FreeBSD防火墻主機(jī)，在初次啟動(dòng)前可以添加成3塊網(wǎng)卡以模擬三個(gè)網(wǎng)段，啟動(dòng)后，F(xiàn)reeBSD初始登錄的管理賬號(hào)名為root，密碼為OPNSENSE，啟動(dòng)后通過(guò)設(shè)置如圖2所示的步驟1和2確定分別為EM0、EM1和EM2（在圖2中所見(jiàn)到的DMZ初始為OPT1標(biāo)識(shí)，進(jìn)到防火墻WEB管理界面可以更改端口的標(biāo)識(shí)）所屬網(wǎng)段并設(shè)置IP地址（可以不配置DHCP和IPV6業(yè)務(wù)），對(duì)廣域網(wǎng)網(wǎng)卡需要配置上行網(wǎng)關(guān)，如圖1中所示可以使用NAT模式中的網(wǎng)關(guān)作為上游網(wǎng)關(guān)。另外三臺(tái)電腦的對(duì)應(yīng)虛擬網(wǎng)絡(luò)設(shè)置和IP地址設(shè)置如圖1所示，兩臺(tái)WINSERVER2003中安裝IIS，以方便訪問(wèn)測(cè)試和驗(yàn)證，測(cè)試時(shí)需要內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的WINSERVER2003服務(wù)器的網(wǎng)站，外網(wǎng)訪問(wèn)DMZ區(qū)域的WINSERVER2003服務(wù)器中的網(wǎng)站。

3.1實(shí)現(xiàn)內(nèi)網(wǎng)用戶和外網(wǎng)用戶互訪的規(guī)則控制

對(duì)內(nèi)網(wǎng)用戶計(jì)算機(jī)而言，他們應(yīng)該可以訪問(wèn)到外網(wǎng)，但是一般情況下，會(huì)使用NAT模式（因?yàn)闆](méi)有那么多公網(wǎng)地址可以分配），可以通過(guò)OPENSENSE的NAT出站設(shè)置去設(shè)置，為了設(shè)定跟方便，可以不使用自動(dòng)NAT設(shè)置，選擇使用手動(dòng)出站規(guī)則，再添加規(guī)則讓內(nèi)網(wǎng)的網(wǎng)段192.168.1.0/24可以被NAT，保存并應(yīng)用更改既可?？梢栽趦?nèi)網(wǎng)計(jì)算機(jī)上測(cè)試訪問(wèn)到外網(wǎng)的WEB服務(wù)。

設(shè)置防火墻的出站規(guī)則：要求從內(nèi)網(wǎng)到達(dá)WAN接口的包中地址在離開(kāi)防火墻的時(shí)候轉(zhuǎn)換為WAN接口上的地址，配置界面如圖3所示（內(nèi)網(wǎng)計(jì)算機(jī)WIN7登錄到防火墻的WEB管理界面），具體配置如表1所示。

如果需要控制訪問(wèn)某個(gè)IP地址的，需要使用防火墻規(guī)則下的浮動(dòng)規(guī)則（Floating）去添加新的規(guī)則。例如需要控制不然內(nèi)網(wǎng)用戶訪問(wèn)172.168.1.64這個(gè)IP，可以添加浮動(dòng)規(guī)則，操作設(shè)置為拒絕，源IP和源端口默認(rèn)就可以，目標(biāo)IP設(shè)置為172.168.1.64/32，其它默認(rèn)，保存并應(yīng)用規(guī)則，就可以控制內(nèi)網(wǎng)IP訪問(wèn)不了172.168.1.64，這個(gè)類似于黑名單操作。

如果需要控制訪問(wèn)某個(gè)IP的某個(gè)端口，在上邊的操作中直接指定目標(biāo)端口就可以，設(shè)置完成后，不影響訪問(wèn)該主機(jī)其它端口的通訊。

一般情況下，不允許外網(wǎng)用戶IP直接訪問(wèn)內(nèi)網(wǎng)，防火墻默認(rèn)是阻止該訪問(wèn)的。

3.2外部用戶對(duì)DMZ區(qū)域互訪的規(guī)控制

外網(wǎng)用戶訪問(wèn)DMZ區(qū)域得先在DMZ區(qū)域的計(jì)算機(jī)發(fā)布服務(wù)，需要先做NAT規(guī)則中的端口轉(zhuǎn)發(fā)，例如訪問(wèn)DMZ的WEB服務(wù)規(guī)則如表2所示，注意這里僅僅只開(kāi)放必要的訪問(wèn)權(quán)限，以免權(quán)限過(guò)大容易使得DMZ區(qū)域的服務(wù)器遭受到攻擊。經(jīng)測(cè)試，可以在外網(wǎng)訪問(wèn)到DMZ服務(wù)器192.168.100.128上發(fā)布的網(wǎng)站。

表2的規(guī)則含義是指從廣域網(wǎng)到達(dá)目的地址為防火墻WAN接口的包，如果目標(biāo)端口為80，將會(huì)被轉(zhuǎn)發(fā)到DMZ區(qū)域192.168.100.128服務(wù)器的80端口。

DMZ到外網(wǎng)的訪問(wèn)，被防火墻默認(rèn)拒絕。

3.3內(nèi)網(wǎng)和DMZ區(qū)域間的互訪的規(guī)則控制

默認(rèn)情況下，內(nèi)網(wǎng)可以直接訪問(wèn)DMZ，DMZ到內(nèi)網(wǎng)的訪問(wèn)時(shí)被拒絕的。

以上是防火墻基本的訪問(wèn)控制，除此之外，該防火墻還有流量監(jiān)控以及強(qiáng)大的日志功能，可以在防火墻配置站點(diǎn)到站點(diǎn)之間的VPN或者移動(dòng)客戶端到站點(diǎn)的VPN等等，更重要的是它還有入侵檢測(cè)的功能，使用該防火墻基本上能夠在中小型企業(yè)替代硬件防火墻，起到很好的網(wǎng)絡(luò)防護(hù)和控制作用。

參考文獻(xiàn)：

[1] 賈鐵軍.網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京：清華大學(xué)出版社，2016.

【通聯(lián)編輯：朱寶貴】