跳到主要內容

打造應用層防火牆(Layer 7 Filter)

打造應用層防火牆(Layer 7 Filter)







與一般的 Packet Filter 防火牆不同,應用層防火牆是在 OSI Model 中的第七層(應用層)運作,因此它可以針對各種應用程式的封包進行過濾。比較常見的應用有阻擋 MSN 通訊、限制 P2P 連線使用的頻寬、限制網路電視等等,只要是應用層防火牆有支援的協定皆可以管控。Linux 預設的情況下是不支援 L7 filter(應用層防火牆)功能的,必須要自己 patch kernel 與 netfilter 才能讓 Linux 支援此項功能。





所需套件:



1.kernel source (eg. linux-2.6.22.tar.gz)

官方網站: http://kernel.org/



2.netfilter source (eg. iptables-1.3.8.tar.bz2)

官方網站: http://netfilter.org/



3.l7-filter kernel version (eg. netfiilter-layer7-v2.13.tar.gz)

官方網站: http://sourceforge.net/project/showf...group_id=80085



4.Protocol definitions (eg. l7-protocols-2007-07-27.tar.gz)

官方網站: http://sourceforge.net/project/showf...group_id=80085





各個套件的用途如下。



1. kernel source:Linux 的核心原始程式碼

2. netfilter source:Linux 防火牆(netfilter)的原始程式碼

3. l7-filter kernel version:kernel 版的 l7 filter。(也有 userspace 版的)

4. Protocol definitions:定義各種應用層的協定的檔案。



註:

l7-filter 完整的支援協定列表可參考此網址:

http://l7-filter.sourceforge.net/protocols





實做的步驟:



1. Patch, Configure and Compile Kernel

2. Patch and Compile Netfilter

3. 安裝Layer 7 Protocol定義檔

4. 設定防火牆









一、Patch, Configure and Compile Kernel





假設使用的 kernel 版本為 2.6.22。



1. 將下載回來的 kernel source 解壓縮後,放到 /usr/src/kernels 目錄中

引用:

tar zxvf linux-2.6.22.tar.gz

mv linux-2.6.22 /usr/src/kernels



2. 將下載回來的 l7-filter kernel version 解壓縮

引用:

tar zxvf netfiilter-layer7-v2.13.tar.gz





裡面有幾個比較重要的檔案:

iptables-for-kernel-2.6.20forward-layer7-2.13.patch

==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之後的版本



iptables-for-kernel-pre2.6.20-layer7-2.13.patch

==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之前的版本



kernel-2.4-layer7-2.13.patch

==>kernel 的 patch 檔,適用於 kernel-2.4



kernel-2.6.22-layer7-2.13.patch

==>kernel 的 patch 檔,適用於 kernel-2.6.22





3. 將 kernel 的 patch 檔複製到 kernel source tree 的根目錄(/usr/src/kernels/linux-2.6.22)

引用:

cp kernel-2.6.22-layer7-2.13.patch /usr/src/kernels/linux-2.6.22



4. Patch Kernel

引用:

cd /usr/src/kernels/linux-2.6.22

patch -p1 < kernel-2.6.22-layer7-2.13.patch



5. 設定 kernel



Patch Kernel 後,現在我們手上所擁有的 Kernel 已經可以支援 Layer 7 Filter,接下來我們必須要 "啟用" 此項功能。



引用:

cd /usr/src/kernels/linux-2.6.22

make menuconfig

Code maturity level options ---> Prompt for development and/or incomplete code/drivers



Networking ---> Networking options ---> Network packet filtering framework --> 將 Core Netfilter Configuration 與 IP: Netfilter Configuration 這兩個項目中所有的項目皆啟用。



註:

最重要的項目分別是 Netfilter Xtables support、Netfilter connection tracking support、Layer 7 match support,但官方手冊建議最好把與 netfilter 有關的選項都開啟。





6. 編譯與安裝 kernel



引用:

make clean

清除已前complie留下的舊檔案,由於我們是第一次compile,此指令可有可無。





引用:

make bzImage

編譯 Linux 系統核心。





引用:

make modules

編譯模組。





引用:

make modules_install

安裝模組,預設會安裝到 /lib/modules/2.6.22 目錄下。





引用:

make install

安裝 Linux 系統核心,會自動進行下列事項:

a. 將 bzImage 改名為 vmlinuz-2.6.22 並複製到 /boot

b. 建立 initrd-2.6.22.img 並複製到 /boot

c. 將 System.map 複製到 /boot 並改名為 System.map-2.6.22

d. 修改 /boot/grub/grub.conf







二、Patch and Compile Netfilter





假設使用的 netfilter 版本為 1.3.8。



1. 將下載回來的 netfilter source 解壓縮後,放到 /usr/local/src 目錄中

引用:

tar jxvf iptables-1.3.8.tar.bz2

mv iptables-1.3.8 /usr/local/src



2. Patch Netfilter

引用:

cp iptables-for-kernel-2.6.20forward-layer7-2.13.patch /usr/local/src/iptables-1.3.8



cd /usr/local/src/iptables-1.3.8



patch -p1 < iptables-for-kernel-2.6.20forward-layer7-2.13.patch



3. 編譯 netfilter

引用:

make KERNEL_DIR=/usr/src/kernels/linux-2.6.22

註:KERNEL_DIR 必須要指到我們之前已經 patch 好的 kernel source





4.安裝 netfilter

引用:

make install KERNEL_DIR=/usr/src/kernels/linux-2.6.22

這裡務必要注意,netfilter 預設是會安裝到 /usr/local/sbin 目錄下,不會覆蓋系統原來的版本(在 /sbin 目錄),所以當你執行 "iptables" 這個指令時會使用到的依然是系統原來的版本,而不是你自己編譯的版本。若要使用自己編譯的 netfilter 務必要使用絕對路徑來呼叫,例如 /usr/local/sbin/iptables。





當kernel與netfilter都編譯與安裝完成後,記得要重新開機並使用新的系統核心啟動Linux。







三、安裝Layer 7 Protocol定義檔



tar zxvf l7-protocols-2007-07-27.tar.gz]

cd l7-protocols-2007-07-27

make install



註:定義檔預設會安裝到 /etc/l7-protocols。







四、設定防火牆



當一切都準備就緒時就可以使用netfilter來過濾Layer 7的封包,指令格式如下:

引用:

iptables [specify table & chain] -m layer7 --l7proto [name of protocol] -j [action]

例如若我們要阻擋MSN通訊,則可以使用以下指令:

引用:

iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP

iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

低調的大提琴

低調的大提琴 靜靜默默的歌唱 在無人發現的角落 獨自低鳴 低調的大提琴 沉溺於寂靜旋律 在月光灑落的夜晚 與蟲鳴交響 低調的大提琴 在漆黑中死去 在幾個世紀後才被發現 卻未曾留在任何人心中 低調的大提琴 不善言語表達 用它的靈魂唱出心情 在人們仔細聆聽下綻放光彩

我的花店不賣薔薇(五)

日劇『沒有薔薇的花店』之文字特輯 呵呵~首先感謝忘年好友-任凱大哥的鼎力協助 由他精心挑選,劇集中精彩對話 『直哉:大哥你人好,我沒話說。不過嘛,這麼做到底妥不妥當? 小雫:什麼妥不妥當? 直哉:不會讓人家產生誤會嗎?她會覺得你對她有意思。 小雫:你的意思是讓爸爸不要對她太好? 直哉:這個我可沒說。在公車上給人讓個座之類的倒沒什麼,不過啊,這助人為樂的事要是做過了頭,有時候會在無意中傷害別人的。 小雫:不大懂。 直哉:她要是喜歡上大哥你的話,雖說是帶著魚子的柳葉魚,你怎麼說也是個單身男子,就算有想再婚的念頭也不奇怪。 小雫:你說誰是柳葉魚? 英治:我沒那種想法。 直哉:那誰說得準。或許她本來已經徹底放棄了戀愛、結婚,你卻給絕望中的人帶去希望,然後再對她說:「我就是心眼好,對人好是我的習慣」,那人家多可憐。 小雫:直哉的話也有道理。 直哉:怎麼說我也是做過牛郎的。女人心還不就那麼回事嘛。大哥該不會是……披著羊皮還帶著小孩的狼?這個時候就該說你是偽君子了。你對人好,你心裡舒服,但是總要考慮一下對方是怎麼想的。 英治:誰跟你說我心裡舒服了? 直哉:不過,大哥要是真想接受她,就又另當別論了,把她當做再婚對象看待的話。 英治:也沒這麼想。 直哉:說到底,你對她還是只有同情吧。』 被刺傷了這麼多次 也總是不懂,難道對人好,也是一種錯嗎 也或許就像直哉說的:「對人好,只是為了自己舒服,是一種習慣。」 總是想成為別人迷途羔羊的最後一道防線 企圖以壞人角色,來抵擋那最後的衝動 卻往往總是不夠仔細、不夠貼心,不懂得更深入著想,而兩敗俱傷 或是對我,不能感到全然地信任,害怕自己赤裸裸地被看穿,所以用盡全力來抗拒,來反擊 可惜我們不是在演日劇,你也不是非我不可 只是單純地想對這樣有緣認識,當朋友的人好 是這世界壞人太多嗎?還是我看起來就是心懷不軌^O^ 我是被動的 當你願意跟我聯繫、聊天 我亦會更用心回應 當你願意找我 我亦會更笑容迎接 當你給了我三分 我亦會回你五分 『信任、尊重與平等,是我們的默契。』