Day-006-防火墙原理与配置实践

# Day 05: 防火墙原理与配置实践

> 网络安全系列第 5 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [引言](#引言)
2. [防火墙基础原理](#防火墙基础原理)
3. [iptables 详解](#iptables 详解)
4. [nftables 新特性](#nftables 新特性)
5. [防火墙规则设计](#防火墙规则设计)
6. [高级防火墙技术](#高级防火墙技术)
7. [防火墙绕过技术](#防火墙绕过技术)
8. [防护策略与最佳实践](#防护策略与最佳实践)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 引言

### 防火墙的重要性

防火墙是网络安全的第一道防线，控制着网络流量的进出。无论是个人电脑、企业网络、还是云环境，防火墙都是基础安全组件。

**核心功能**：
-  **访问控制**：允许/拒绝特定流量
-  **流量过滤**：基于规则检查数据包
- 统计 **日志记录**：记录网络活动
-  **攻击防护**：阻止常见网络攻击

### 防火墙演进

```
第一代：包过滤防火墙 (1980s)
  - 基于 IP、端口、协议
  - 无状态检查
  
第二代：状态检测防火墙 (1990s)
  - 跟踪连接状态
  - 更智能的决策
  
第三代：应用层防火墙 (2000s)
  - 深度包检测 (DPI)
  - 应用协议识别
  
第四代：下一代防火墙 (NGFW) (2010s-)
  - 入侵防御 (IPS)
  - 应用识别
  - 威胁情报集成
```

---

## 防火墙基础原理

### 包过滤原理

```
数据包进入防火墙：
         ↓
   ┌─────────────┐
   │  包接收     │
   └──────┬──────┘
          ↓
   ┌─────────────┐
   │  规则匹配   │ ←── 规则表
   └──────┬──────┘
          ↓
   ┌─────────────┐
   │  允许/拒绝  │
   └──────┬──────┘
          ↓
    转发 / 丢弃
```

### 状态检测原理

```
连接跟踪表：
┌────────────────────────────────────────┐
│ 源 IP   │ 目标 IP  │ 状态      │ 超时  │
├────────────────────────────────────────┤
│ 1.1.1.1 │ 2.2.2.2 │ ESTABLISHED│ 3600 │
│ 3.3.3.3 │ 4.4.4.4 │ NEW       │ 120  │
│ 5.5.5.5 │ 6.6.6.6 │ TIME_WAIT │ 30   │
└────────────────────────────────────────┘

状态流转：
NEW → ESTABLISHED → TIME_WAIT → CLOSED
```

### 防火墙工作层次

```
OSI 模型与防火墙：

应用层 (L7)  ──────── WAF, 代理防火墙
表示层 (L6)  ────┐
会话层 (L5)  ────┤
传输层 (L4)  ────┼─── 状态检测防火墙
网络层 (L3)  ────┤
数据链路层 (L2) ──┘
物理层 (L1)
```

---

## iptables 详解

### iptables 架构

```
iptables 四表五链：

表（Tables）：
- filter: 包过滤（默认）
- nat: 网络地址转换
- mangle: 包修改
- raw: 连接跟踪豁免

链（Chains）：
- PREROUTING: 路由前
- INPUT: 入站
- FORWARD: 转发
- OUTPUT: 出站
- POSTROUTING: 路由后
```

### 链与数据包流程

```
入站数据包：
PREROUTING → INPUT → 本地进程

转发数据包：
PREROUTING → FORWARD → POSTROUTING

出站数据包：
本地进程 → OUTPUT → POSTROUTING
```

### 基础命令

```bash
# 查看规则
iptables -L -n -v
iptables -L INPUT -n -v
iptables -t nat -L -n -v

# 查看行号
iptables -L INPUT -n -v --line-numbers

# 清空规则
iptables -F
iptables -t nat -F
iptables -t mangle -F

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
```

### 规则管理

```bash
# 添加规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 插入规则（指定位置）
iptables -I INPUT 1 -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 删除规则
iptables -D INPUT 1  # 按行号
iptables -D INPUT -p tcp --dport 22 -j ACCEPT  # 按规则

# 替换规则
iptables -R INPUT 1 -p tcp --dport 22 -j DROP

# 清空链
iptables -F INPUT
```

### 常用匹配条件

```bash
# 协议匹配
-p tcp
-p udp
-p icmp

# 端口匹配
--dport 22
--sport 80
--dport 80:443  # 端口范围

# IP 地址匹配
-s 192.168.1.1  # 源地址
-d 10.0.0.1     # 目标地址
-s 192.168.1.0/24

# 接口匹配
-i eth0  # 入站接口
-o eth1  # 出站接口

# 状态匹配
-m state --state NEW
-m state --state ESTABLISHED,RELATED
-m state --state INVALID

# 连接跟踪
-m conntrack --ctstate NEW
```

### 常用目标动作

```bash
-j ACCEPT     # 允许
-j DROP       # 丢弃（无响应）
-j REJECT     # 拒绝（返回错误）
-j LOG        # 记录日志
-j SNAT       # 源地址转换
-j DNAT       # 目标地址转换
-j MASQUERADE # 动态 SNAT
```

### 日志记录

```bash
# 记录日志
iptables -A INPUT -j LOG --log-prefix "IPTABLES-INPUT: " --log-level 4

# 记录特定流量
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH-ATTEMPT: "

# 查看日志
tail -f /var/log/kern.log | grep IPTABLES
dmesg | grep IPTABLES

# 限制日志速率
iptables -A INPUT -m limit --limit 5/min -j LOG
```

---

## 防火墙规则设计

### 基础安全规则

```bash
#!/bin/bash
# 基础防火墙配置脚本

# 清空现有规则
iptables -F
iptables -t nat -F
iptables -t mangle -F

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许回环接口
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立和相关的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 防止 SYN Flood
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

# 允许 SSH（限制源 IP）
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

# 允许 HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许 Ping（限制速率）
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# 丢弃无效包
iptables -A INPUT -m state --state INVALID -j DROP

# 记录并丢弃其他所有
iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROP: "
iptables -A INPUT -j DROP
```

### 服务特定规则

```bash
# Web 服务器
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 数据库服务器（仅内网）
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -s 192.168.1.0/24 -j ACCEPT

# 邮件服务器
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT

# DNS 服务器
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
```

### NAT 配置

```bash
# 启用 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# SNAT（内网上网）
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

# DNAT（端口转发）
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

# 端口转发到外部
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination external.com:22
iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT
```

---

## nftables 新特性

### nftables vs iptables

```
nftables 优势：
- 统一框架，替代 iptables/ip6tables/arptables/ebtables
- 更高效的规则处理
- 更简洁的语法
- 原子规则更新
- 更好的集合支持
```

### 基础配置

```bash
# 创建表
nft add table inet filter

# 创建链
nft add chain inet filter input { type filter hook input priority 0\; policy drop\; }
nft add chain inet filter forward { type filter hook forward priority 0\; policy drop\; }
nft add chain inet filter output { type filter hook output priority 0\; policy accept\; }

# 添加规则
nft add rule inet filter input iif lo accept
nft add rule inet filter input ct state established,related accept
nft add rule inet filter input tcp dport 22 accept
nft add rule inet filter input tcp dport {80, 443} accept

# 查看规则
nft list ruleset
nft list table inet filter
```

### 高级特性

```bash
# 集合（Sets）
nft add set inet filter whitelist { type ipv4_addr\; }
nft add element inet filter whitelist { 192.168.1.1, 192.168.1.2 }
nft add rule inet filter input ip saddr @whitelist accept

# 映射（Maps）
nft add map inet filter port_redirect { type inet_service : inet_service\; }
nft add element inet filter port_redirect { 8080 : 80, 8443 : 443 }

# 限制器（Limit）
nft add rule inet filter input tcp dport 22 limit rate 5/minute accept

# 日志
nft add rule inet filter input log prefix "NFT-INPUT-DROP: " drop
```

---

## 高级防火墙技术

### 应用层过滤

```bash
# 使用 layer7 过滤（需要额外模块）
iptables -A INPUT -m layer7 --l7proto http -j ACCEPT
iptables -A INPUT -m layer7 --l7proto bittorrent -j DROP

# 使用字符串匹配
iptables -A INPUT -m string --string "malware" --algo bm -j DROP
```

### 地理位置过滤

```bash
# 使用 iptables geoip
iptables -A INPUT -m geoip --src-cc CN,RU -j DROP
iptables -A INPUT -m geoip --src-cc US,EU -j ACCEPT
```

### 速率限制

```bash
# 连接速率限制
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT

# 包速率限制
iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT
iptables -A INPUT -p icmp -j DROP

# 哈希限制（防 DDoS）
iptables -A INPUT -p tcp --dport 80 -m hashlimit \
  --hashlimit-name http \
  --hashlimit-mode srcip \
  --hashlimit-upto 100/sec \
  --hashlimit-burst 200 \
  -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
```

### 端口敲门（Port Knocking）

```bash
# 安装 knockd
apt install knockd

# 配置 /etc/knockd.conf
[options]
  UseSyslog
[openSSH]
  sequence = 7000,8000,9000
  seq_timeout = 5
  command = iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  tcpflags = syn
[closeSSH]
  sequence = 9000,8000,7000
  seq_timeout = 5
  command = iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  tcpflags = syn

# 启动服务
systemctl start knockd

# 客户端敲门
knock -v target_ip 7000 8000 9000
```

---

## 防火墙绕过技术

### 常见绕过方法

```
1. 分片攻击
   - 将恶意包分片绕过检测
   - 防御：重组检查

2. 协议隧道
   - 通过允许协议隧道
   - DNS 隧道、ICMP 隧道
   - 防御：深度检测

3. 加密流量
   - 加密绕过内容检测
   - 防御：TLS 解密

4. 源地址欺骗
   - 伪造可信 IP
   - 防御：uRPF 检查
```

### 检测绕过尝试

```bash
# 检测分片
iptables -A INPUT -f -j LOG --log-prefix "FRAGMENT: "

# 检测异常包
iptables -A INPUT -m length --length 1500: -j LOG

# 检测扫描
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "NULL-SCAN: "
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS-SCAN: "
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix "XMAS-SCAN: "
```

---

## 防护策略与最佳实践

### 规则优化

```bash
# 1. 规则排序
# 频繁匹配的规则放前面
iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# 2. 使用集合
# 多个 IP 使用 ipset
ipset create whitelist hash:ip
ipset add whitelist 192.168.1.1
ipset add whitelist 192.168.1.2
iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

# 3. 定期清理
# 删除无用规则
# 清理过期临时规则
```

### 监控与审计

```bash
# 1. 日志分析
# 使用 logwatch
logwatch --detail high --service iptables

# 2. 规则审计
# 定期检查规则
iptables-save > /backup/iptables-$(date +%Y%m%d).rules

# 3. 变更管理
# 记录所有规则变更
# 使用版本控制
```

### 备份与恢复

```bash
#!/bin/bash
# 备份脚本
# /etc/cron.daily/iptables-backup

BACKUP_DIR=/backup/iptables
mkdir -p $BACKUP_DIR
DATE=$(date +%Y%m%d-%H%M%S)

# 保存规则
iptables-save > $BACKUP_DIR/iptables-$DATE.rules
ip6tables-save > $BACKUP_DIR/ip6tables-$DATE.rules

# 保留最近 30 天
find $BACKUP_DIR -name "*.rules" -mtime +30 -delete

# 恢复脚本
# iptables-restore < /backup/iptables-YYYYMMDD-HHMMSS.rules
```

### 企业级部署

```
最佳实践：
1. 默认拒绝策略
2. 最小权限原则
3. 分层防御
4. 集中管理
5. 定期审计
6. 变更控制
7. 日志集中
8. 高可用部署
```

---

## 总结与思考

### 核心要点回顾

1. **防火墙类型**：
   - 包过滤、状态检测、应用层
   - iptables、nftables

2. **规则设计**：
   - 默认拒绝
   - 最小权限
   - 日志记录

3. **高级技术**：
   - NAT 配置
   - 速率限制
   - 端口敲门

### 深入思考问题

1. **云环境防火墙**：
   - 安全组 vs 传统防火墙
   - 微隔离实现
   - 零信任架构

2. **容器防火墙**：
   - Docker 网络隔离
   - Kubernetes NetworkPolicy
   - 服务网格安全

### 实战建议

1. **个人用户**：
   - 启用系统防火墙
   - 仅开放必要端口
   - 定期更新规则

2. **企业用户**：
   - 分层防火墙部署
   - 集中日志管理
   - 定期安全审计

---

## 参考资料

### 工具资源
- [Netfilter Project](https://www.netfilter.org/)
- [nftables Wiki](https://wiki.nftables.org/)
- [iptables 手册](https://man7.org/linux/man-pages/man8/iptables.8.html)

### 在线资源
- [OWASP Firewall Guidelines](https://owasp.org/www-community/controls/Firewall)
- [Linux Firewall Howto](https://tldp.org/HOWTO/Firewall-HOWTO/)

### 书籍推荐
- 《Linux iptables Pocket Reference》
- 《防火墙技术详解》

---

**标记 明日预告**：Day 06 - 网络地址转换（NAT）安全分析

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 5 篇，完整系列请访问项目仓库。*