Loading......

    当听到防火墙这个术语时，大多数人会想到在OSI参考模型的网络层和传输层检查网络流量并做出允许通过或过滤决定的产品。其实从产品角度来说，目前存在着几十种类型的防火墙产品，它们是根据所检查的数据源（例如，网络流量、主机进程或系统调用）以及检查的深度来分门别类的。几乎任何检查通信流量、并决定是允许它通过还是将它过滤的设备，都可以视为一个防火墙产品。
    代理防火墙的发明者和第一个商业防火墙产品的实现者Marcus Ranum在20世纪90年代中期给出了防火墙的一个定义，他说：“防火墙是对因特网安全策略的实现。” 这是一个非常好的定义，因为这个定义与产品无关、永恒而且现实。它既适用于那时由William R. Cheswick和Steven M. Bellovin所著的最早的一本防火墙图书《防火墙与互联网安全》（Firewalls and Internet Security，Addison-Wesley Professional，1994），也同样适用你现在正在阅读的这本书。
    依照Ranum定义的精神，防火墙还可以被视为是一个策略执行系统。检查网络流量并做出允许通过或过滤决定的设备可以称为网络策略执行系统；检查主机活动并做出允许通过或过滤决定的设备可以称为主机策略执行系统。不管是哪种情况，强调策略执行将引导我们重点关注防火墙的正确角色，即防火墙是一个实现策略而不是仅仅“阻止坏事物”的设备。
    说到“坏事物”，我们不禁要问：在如今的企业中，防火墙是否还能起作用。正确配置的传统网络防火墙产品只允许管理员认可的互联网协议、IP地址、TCP/UDP端口以及ICMP的类型和代码通过。在现代的攻击环境中，这种程度的防御是远远不够的。虽然说对攻击渠道的限制对于限制目的地进出路径是十分必要的，但是至少最近十年来，网络层和传输层过滤始终是一种非常不充分的防攻击对策。
    2007年，最有效的入侵客户端的方式是引诱用户激活恶意的可执行文件、发送给用户包含恶意内容的链接或攻击用户经常使用的另一个客户端组件。在许多情况下，攻击并不依赖于理应修复的漏洞或加固的配置。相反，攻击者可以利用如今浏览Web网页越来越需要的富媒体平台（如JavaScript和Flash）中的弱点来实施攻击。
    2007年，最有效的入侵服务器的方式是绕开操作系统而去利用应用程序的漏洞。Web应用程序在服务器领域占据了统治地位，它们更有可能遭受到针对其架构和设计上的缺陷实施的攻击，而不是针对能用补丁修复的漏洞所实施的攻击。在20世纪90年代末，人们热衷于通过改变用户购物车中物品的价格来演示一个不安全的Web应用程序。拜Ajax所赐，购物车在十年后运行在了客户端，同时价格仍然能被改变，而情况也因此变得更糟。
    所有这一切似乎使得防火墙产品的前景变得相当黯淡。许多防火墙产品为了适应新的发展需要，集成了对OSI参考模型的应用层进行深度数据包检查或操作的能力。其他一些防火墙产品则成为入侵防御系统，它们通过利用巧妙的营销术语将自己与市场上其他的产品相区分。在这个客户端攻击肆虐和利用Web应用程序漏洞的时代，防火墙产品，特别是开源的产品，是否还能占据一席之地呢？
    答案是肯定的——而且你正在阅读其中一种解决方案。Michael Rash是创造性利用网络技术防御攻击的先行者。安全研究和开发领域似乎正逐渐被各种攻击工具和技术所统治，我们只需快速浏览一下某次拉斯维加斯黑客大会上的发言者名单就能清楚这一点。与这一趋势相对抗，Michael一直在发明并改进保护资产免受攻击的方法。在看过黑客大会所呈现的网络黑暗面后，几乎我们所有人都将返回到现实的工作中来保护我们的企业。谢谢这本书让我们又有了一套程序和方法集让工作变得更轻松。
在阅读本书的初稿时，我发现了几点作者想要阐述的主题。首先，以主机为中心的防御正在变得越来越重要，因为设备都是独立并    暴露在因特网中的。这种演变的一个极端例子就是IPv6的引入，它的部署将还原最初因特网“端到端”的特性。当然，端到端也可以被看作为是攻击者到受害者，所以我们需要一种能实现主机自我保护的方式。本书将告诉你如何使用基于主机的防火墙和工具来实现主机的自我保护。
    其次，尽管主机必须增强自身的防御能力，但仅仅围绕主机展开防御是不够的。一旦主机被入侵，它就无法再继续进行自我防御了。在入侵系统之后，入侵者通常会关闭主机防火墙、防病毒软件和其他防护机制。因此，在可能的情况下，我们仍然需要使用网络过滤设备。一个被入侵的端主机只能使用网络防火墙允许的通信渠道，这至少限制了入侵者可以享有的自由空间。本书也将告诉你如何使用网络设备来保护主机。
    最后，我们必须找到富有创意的方法来保护我们的资产，并深入理解攻击场景。如果想限制对敏感服务的访问，那么与端口碰撞相比，单数据包授权是一个巨大的进步。对日志和流量进行可视化显示将有助于分析员检测出原本难以察觉的事件。通过阅读本书，你可能会发现其他人（甚至包括作者）都没有想到的方法来充分利用你的防御基础设施。
    我很高兴以一个书评人和技术书作者的身份来总结这些想法。自2000年至2007年年中，我阅读了近250本技术书籍，写了不少书评，我自己也出了几本书，因此，我自信能够判断出什么叫一本好书。《Linux防火墙》就是这样一本好书。我是一个FreeBSD用户，但在看过这本书后，我已在考虑在某些场合使用Linux了！Michael的书写得异常清晰、井井有条、简洁明了，操作性强。你只需按照书中例子里说明的过程，就可以实现作者介绍的所有技术。通过阅读本书，你不仅会熟悉安全工具和技术的使用方法，还将领悟到作者那敏锐的防御观。
    世界上大多数数字安全专业人员都非常关注防御技术，而攻击技术通常只有坏人、警察和军队才用。我非常欢迎像《Linux防火墙》这样的图书出现，它为大众带来真正的防御工具和技术，而且这些工具和技术只需付出最低的成本和努力就可以被消化和部署。祝本书好运——我们都需要它。

                                                                                            Richard Bejtlich
                                                                                            TaoSecurity主席兼CEO
                                                                                            通用电气公司应急响应部主管
                                                                                            于弗吉尼亚州Manassas Park