Day-096-主机防火墙配置

# Day 98: 主机防火墙配置 - iptables/nftables/Windows 防火墙

> 系统安全系列第 8 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [主机防火墙概述](#主机防火墙概述)
2. [iptables 配置](#iptables-配置)
3. [nftables 配置](#nftables-配置)
4. [firewalld 配置](#firewalld-配置)
5. [Windows 防火墙](#windows-防火墙)
6. [高级配置](#高级配置)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 主机防火墙概述

### 防火墙类型

**网络防火墙**：
- 边界防护
- 网络层过滤
- 高性能

**主机防火墙**：
- 端点防护
- 应用层过滤
- 精细控制

### 防护场景

**入站防护**：
```
- 限制开放端口
- 阻止未授权访问
- 防止端口扫描
```

**出站防护**：
```
- 阻止恶意外联
- 防止数据渗出
- 限制应用联网
```

**转发防护**：
```
- 路由设备防护
- NAT 规则
- 流量控制
```

---

## iptables 配置

### 基础概念

**表 (Tables)**：
```
filter: 默认表，用于包过滤
nat: 网络地址转换
mangle: 包修改
raw: 连接跟踪豁免
```

**链 (Chains)**：
```
INPUT: 入站流量
OUTPUT: 出站流量
FORWARD: 转发流量
PREROUTING: 路由前
POSTROUTING: 路由后
```

### 基础配置

**默认策略**：
```bash
#!/bin/bash
# 基础防火墙脚本

# 清空现有规则
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# 设置默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许回环接口
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许 SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP/HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许 ICMP (ping)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# 记录并丢弃其他流量
iptables -A INPUT -j LOG --log-prefix "IPTABLES_DROP: "
iptables -A INPUT -j DROP

echo "防火墙规则已应用"
```

### 高级规则

**端口范围**：
```bash
# 允许端口范围
iptables -A INPUT -p tcp --dport 8000:8999 -j ACCEPT

# 允许多个端口
iptables -A INPUT -p tcp -m multiport --dports 22,80,443,8080 -j ACCEPT
```

**IP 限制**：
```bash
# 允许特定 IP
iptables -A INPUT -s 192.168.1.100 -j ACCEPT

# 允许网段
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

# 阻止特定 IP
iptables -A INPUT -s 10.0.0.100 -j DROP
```

**速率限制**：
```bash
# SSH 暴力破解防护
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

# ICMP 速率限制
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
```

**端口转发**：
```bash
# 启用 IP 转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 端口转发 (8080 -> 80)
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80

# 转发到其他主机
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT
```

### 规则保存与恢复

**保存规则**：
```bash
# Debian/Ubuntu
iptables-save > /etc/iptables/rules.v4

# RHEL/CentOS
service iptables save
# 或
iptables-save > /etc/sysconfig/iptables
```

**恢复规则**：
```bash
# Debian/Ubuntu
iptables-restore < /etc/iptables/rules.v4

# RHEL/CentOS
service iptables restart
```

---

## nftables 配置

### nftables 优势

**对比 iptables**：
```
优点:
- 统一语法 (IPv4/IPv6)
- 更好的性能
- 原子规则更新
- 更简洁的配置

缺点:
- 较新的技术
- 文档相对较少
- 需要较新内核
```

### 基础配置

**创建表与链**：
```bash
#!/bin/bash
# nftables 基础配置

# 清空现有规则
nft flush ruleset

# 创建表
nft add table inet filter

# 创建链
nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }

# 允许回环
nft add rule inet filter input iif lo accept
nft add rule inet filter output oif lo accept

# 允许已建立连接
nft add rule inet filter input ct state established,related accept

# 允许 SSH
nft add rule inet filter input tcp dport 22 accept

# 允许 HTTP/HTTPS
nft add rule inet filter input tcp dport { 80, 443 } accept

# 允许 ICMP
nft add rule inet filter input icmp type echo-request accept

# 记录并丢弃
nft add rule inet filter input log prefix \"NFT_DROP: \" drop

echo "nftables 规则已应用"
```

### 高级配置

**命名集**：
```bash
# 创建 IP 白名单
nft add set inet filter whitelist { type ipv4_addr \; }
nft add element inet filter whitelist { 192.168.1.100, 192.168.1.101 }

# 使用白名单
nft add rule inet filter input ip saddr @whitelist accept

# 创建端口集
nft add set inet filter allowed_ports { type inet_service \; }
nft add element inet filter allowed_ports { 22, 80, 443 }

# 使用端口集
nft add rule inet filter input tcp dport @allowed_ports accept
```

**速率限制**：
```bash
# SSH 速率限制
nft add rule inet filter input tcp dport 22 ct state new limit rate 4/minute accept
nft add rule inet filter input tcp dport 22 ct state new drop
```

**NAT 配置**：
```bash
# 创建 nat 表
nft add table nat

# 源 NAT (SNAT)
nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
nft add rule nat postrouting ip saddr 192.168.1.0/24 oif eth0 masquerade

# 目的 NAT (DNAT)
nft add chain nat prerouting { type nat hook prerouting priority -100 \; }
nft add rule nat prerouting tcp dport 8080 dnat to 192.168.1.100:80
```

### 规则管理

**保存规则**：
```bash
# 保存当前规则
nft list ruleset > /etc/nftables.conf

# 或使用 nft 命令
nft list ruleset -a > /etc/nftables.conf
```

**恢复规则**：
```bash
# 从文件加载
nft -f /etc/nftables.conf

# 或重启服务
systemctl restart nftables
```

**启用服务**：
```bash
# 启用 nftables 服务
systemctl enable nftables
systemctl start nftables

# 禁用 iptables 服务
systemctl stop iptables
systemctl disable iptables
```

---

## firewalld 配置

### firewalld 概述

**特点**：
```
- 基于 nftables/iptables 后端
- 动态规则管理
- 区域 (Zone) 概念
- 服务预定义
```

### 基础配置

**区域管理**：
```bash
# 查看可用区域
firewall-cmd --get-zones

# 查看当前区域
firewall-cmd --get-active-zones

# 设置默认区域
firewall-cmd --set-default-zone=public

# 查看区域配置
firewall-cmd --zone=public --list-all
```

**服务与端口**：
```bash
# 添加服务
firewall-cmd --zone=public --add-service=ssh
firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=https

# 添加端口
firewall-cmd --zone=public --add-port=8080/tcp

# 永久生效
firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --reload
```

**IP 管理**：
```bash
# 添加 IP 白名单
firewall-cmd --zone=public --add-source=192.168.1.100

# 添加网段
firewall-cmd --zone=public --add-source=192.168.1.0/24

# 阻止特定 IP
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.100" reject'
```

### 高级配置

**富规则**：
```bash
# 速率限制
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" service name="ssh" limit value="4/m" accept'

# 端口转发
firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100

# ICMP 过滤
firewall-cmd --zone=public --add-icmp-block=echo-request
```

**伪装 (Masquerade)**：
```bash
# 启用 IP 伪装
firewall-cmd --zone=public --add-masquerade

# 端口转发 (需要启用伪装)
firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80
```

---

## Windows 防火墙

### Windows 防火墙概述

**特点**：
```
- 集成于 Windows 系统
- 图形界面 + 命令行
- 高级安全功能
- 与 AD 集成
```

### PowerShell 配置

**基础配置**：
```powershell
# 启用防火墙
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

# 设置默认策略
Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block -DefaultOutboundAction Allow

# 允许已建立连接
New-NetFirewallRule -DisplayName "Allow Established" -Direction Inbound -Action Allow -Stateful True

# 允许回环
New-NetFirewallRule -DisplayName "Allow Loopback" -Direction Inbound -InterfaceAlias "Loopback*" -Action Allow
```

**服务规则**：
```powershell
# 允许 SSH (如果安装)
New-NetFirewallRule -DisplayName "Allow SSH" -Direction Inbound -Protocol TCP -LocalPort 22 -Action Allow

# 允许 HTTP/HTTPS
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

# 允许 ICMP (Ping)
New-NetFirewallRule -DisplayName "Allow ICMP" -Protocol ICMPv4 -IcmpType 8 -Action Allow
```

**应用规则**：
```powershell
# 允许特定应用
New-NetFirewallRule -DisplayName "Allow Chrome" -Direction Outbound -Program "C:\Program Files\Google\Chrome\Application\chrome.exe" -Action Allow

# 阻止特定应用
New-NetFirewallRule -DisplayName "Block Torrent" -Direction Outbound -Program "C:\Program Files\uTorrent\uTorrent.exe" -Action Block
```

### 高级配置

**IP 限制**：
```powershell
# 允许特定 IP
New-NetFirewallRule -DisplayName "Allow Specific IP" -Direction Inbound -RemoteAddress 192.168.1.100 -Action Allow

# 允许网段
New-NetFirewallRule -DisplayName "Allow Subnet" -Direction Inbound -RemoteAddress 192.168.1.0/24 -Action Allow

# 阻止特定 IP
New-NetFirewallRule -DisplayName "Block IP" -Direction Inbound -RemoteAddress 10.0.0.100 -Action Block
```

**端口范围**：
```powershell
# 允许端口范围
New-NetFirewallRule -DisplayName "Allow Port Range" -Direction Inbound -Protocol TCP -LocalPort 8000-8999 -Action Allow
```

**日志配置**：
```powershell
# 启用日志
Set-NetFirewallProfile -Profile Domain,Public,Private -LogAllowed True -LogBlocked True -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" -LogMaxSizeKilobytes 16384

# 查看日志
Get-Content $env:SystemRoot\system32\LogFiles\Firewall\pfirewall.log -Tail 50
```

### 组策略配置

**通过 GPO 部署**：
```
计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级安全 Windows 防火墙

可配置:
- 入站/出站规则
- 配置文件设置
- 监控设置
```

**导出/导入规则**：
```powershell
# 导出防火墙规则
Export-NetFirewallRule -PolicyStore ActiveStore -Path C:\firewall_rules.xml

# 导入防火墙规则
Import-NetFirewallRule -Path C:\firewall_rules.xml
```

---

## 高级配置

### 应用层过滤

**Layer7 过滤**：
```bash
# iptables 应用层匹配
iptables -A INPUT -p tcp --dport 80 -m string --string "malware" --algo bm -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo bm -j DROP
```

**连接跟踪**：
```bash
# 限制并发连接
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

# 限制 NEW 连接速率
iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT
```

### DDoS 防护

**SYN Flood 防护**：
```bash
# 启用 SYN Cookie
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# 限制 SYN 包速率
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

# 丢弃无效包
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
```

**ICMP Flood 防护**：
```bash
# 限制 ICMP 速率
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 4 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
```

### 日志与监控

**iptables 日志**：
```bash
# 添加日志规则
iptables -A INPUT -j LOG --log-prefix "IPTABLES_INPUT: " --log-level 4
iptables -A OUTPUT -j LOG --log-prefix "IPTABLES_OUTPUT: " --log-level 4

# 配置 rsyslog 分离防火墙日志
# /etc/rsyslog.d/firewall.conf
:msg, contains, "IPTABLES" /var/log/firewall.log
```

**nftables 日志**：
```bash
# 添加日志规则
nft add rule inet filter input log prefix \"NFT_INPUT: \" level info
nft add rule inet filter input log prefix \"NFT_DROP: \" level warning drop
```

---

## 总结与思考

### 核心要点回顾

1. **主机防火墙**：iptables、nftables、firewalld、Windows 防火墙
2. **iptables 配置**：表链概念、基础规则、高级规则、规则保存
3. **nftables 配置**：统一语法、命名集、NAT 配置
4. **firewalld 配置**：区域管理、服务端口、富规则
5. **Windows 防火墙**：PowerShell 配置、应用规则、GPO 部署
6. **高级配置**：应用层过滤、DDoS 防护、日志监控

### 深入思考

**防火墙选择**：
- 传统系统：iptables
- 新系统：nftables
- 需要动态管理：firewalld
- Windows 环境：Windows 防火墙

**防护策略**：
- 默认拒绝
- 最小权限
- 分层防护
- 持续监控

### 最佳实践

**规则管理**：
- 文档化所有规则
- 定期审查规则
- 测试规则变更
- 备份规则配置

**监控审计**：
- 启用日志记录
- 监控规则命中
- 定期审计规则
- 告警异常流量

---

## 参考资料

### 学习资源

- **Netfilter/Iptables**: https://www.netfilter.org
- **nftables Wiki**: https://wiki.nftables.org
- **firewalld**: https://firewalld.org
- **Windows Firewall**: https://docs.microsoft.com/windows/security/

### 工具资源

- **iptables**: 系统自带
- **nftables**: 系统自带 (新内核)
- **firewalld**: RHEL/CentOS/Fedora 默认
- **Windows Firewall**: Windows 系统自带

---

*Day 98 完成 | 主机防火墙配置详解 | 字数：约 18,000 字*