收藏
下载资源

{售后服务}linux网络服务器搭建项目九杨云

上传人:冯** 文档编号:140027407 上传时间:2020-07-26 格式:PPTX 页数:115 大小:12.44MB
返回 下载 相关 举报
{售后服务}linux网络服务器搭建项目九杨云_第1页
第1页 / 共115页
{售后服务}linux网络服务器搭建项目九杨云_第2页
第2页 / 共115页
{售后服务}linux网络服务器搭建项目九杨云_第3页
第3页 / 共115页
{售后服务}linux网络服务器搭建项目九杨云_第4页
第4页 / 共115页
{售后服务}linux网络服务器搭建项目九杨云_第5页
第5页 / 共115页
点击查看更多>>
资源描述

《{售后服务}linux网络服务器搭建项目九杨云》由会员分享,可在线阅读,更多相关《{售后服务}linux网络服务器搭建项目九杨云(115页珍藏版)》请在金锄头文库上搜索。

1、网络服务器搭建、配置与管理Linux版,主编:杨云、马立新 人民邮电出版社,项目九、配置与管理防火墙和代理服务器,项目描述:某高校组建了校园网,并且已经架设了Web、FTP、DNS、DHCP、Mail等功能的服务器来为校园网用户提供服务,现有如下问题需要解决。 (1)需要架设防火墙以实现校园网的安全。 (2)需要将子网连接在一起构成整个校园网。 (3)由于校园网使用的是私有地址,需要进行网络地址转换,使校园网中的用户能够访问互联网。 该项目实际上是由Linux的防火墙与代理服务器:iptables和squid来完成的,通过该角色部署iptables、NAT、squid,能够实现上述功能。 项目

2、目标 :了解防火墙的分类及工作原理 了解NAT 掌握iptables防火墙的配置 掌握利用iptables实现NAT 掌握squid代理服务器的配置,9.3 项目实施,9.6 练习题,9.7 综合案例分析,9.8 超级链接,项目九、配置与管理防火墙和代理服务器,9.4 企业实战与应用,9.5 项目实录,9.1 相关知识,9.1.1 防火墙概述,1什么是防火墙,防火墙通常具备以下几个特点。 (1)位置权威性。 (2)检测合法性。 (3)性能稳定性。,9.1.1 防火墙概述,2防火墙的种类,(1)包过滤防火墙。,(2)代理防火墙。,(3)状态检测技术。,9.1.2 iptables简介,早期的Li

3、nux系统采用过ipfwadm作为防火墙,但在2.2.0核心中被ipchains所取代。 Linux 2.4版本发布后,netfilter/iptables信息包过滤系统正式使用。 Netfilter/iptables IP数据包过滤系统实际由netfilter和iptables两个组件构成。Netfilter是集成在内核中的一部分,它的作用是定义、保存相应的规则。而iptables是一种工具,用以修改信息的过滤规则及其他配置。用户可以通过iptables来设置适合当前环境的规则,而这些规则会保存在内核空间中。 对于Linux服务器而言,采用netfilter/iptables数据包过滤系统,

4、能够节约软件成本,并可以提供强大的数据包过滤控制功能,iptables是理想的防火墙解决方案。,9.1.3 iptables工作原理,netfilter是Linux核心中的一个通用架构,它提供了一系列的“表”(tables),每个表由若干“链”(chains)组成,而每条链可以由一条或数条“规则”(rules)组成。实际上,netfilter是表的容器,表是链的容器,而链又是规则的容器。,1iptables名词解释 (1)规则(rules)。设置过滤数据包的具体条件,如IP地址、端口、协议以及网络接口等信息,iptables如表,(2)动作(target)。当数据包经过Linux时,若netf

5、ilter检测该包符合相应规则,则会对该数据包进行相应的处理,iptables动作如表,9.1.3 iptables工作原理,9.1.3 iptables工作原理,(3)链(chain)。数据包传递过程中,不同的情况下所要遵循的规则组合形成了链。规则链可以分为以下两种。 内置链(Build-in Chains)。 用户自定义链(User-Defined Chains)。 netfilter常用的为内置链,其一共有5个链,如表,9.1.3 iptables工作原理,netfilter的5条链相互地关联,如图,iptables数据包转发流程图,9.1.3 iptables工作原理,(4)表(tab

6、le)。接受数据包时,Netfilter会提供以下3种数据包处理的功能。 过滤。 地址转换。 变更。 Netfilter根据数据包的处理需要,将链(chain)进行组合,设计了3个表(table):filter、nat以及mangle。 filter。这是netfilter默认的表,通常使用该表进行过滤的设置,它包含以下内置链。 INPUT:应用于发往本机的数据包。 FORWARD:应用于路由经过本地的数据包。 OUTPUT:本地产生的数据包。 filter表过滤功能强大,几乎能够设定所有的动作(target)。,9.1.3 iptables工作原理, nat。当数据包建立新的连接时,该nat

7、表能够修改数据包,并完成网络地址转换。它包含以下3个内置链。 PREROUTING:修改到达的数据包。 OUTPUT:路由之前,修改本地产生数据包。 POSTROUTING:数据包发送前,修改该包。 nat表仅用于网络地址转换,也就是转换包的源或目标地址,其具体的动作有DNAT、SNAT以及MASQUERADE,下面的内容将会详细介绍。,9.1.3 iptables工作原理, mangle。该表用在数据包的特殊变更操作,如修改TOS等特性。Linux 2.4.17内核以前,它包含两个内置链:PREROUTING和OUTPUT,内核2.4.18发布后,mangle表对其他3个链提供了支持。 PR

8、EROUTING:路由之前,修改接受的数据包。 INPUT:应用于发送给本机的数据包。 FORWARD:修改经过本机路由的数据包。 OUTPUT:路由之前,修改本地产生的数据包。 POSTROUTING:数据包发送出去之前,修改该包。,2iptables工作流程,9.1.3 iptables工作原理,iptables拥有3个表和5个链,其整个工作流程如图,9.1.3 iptables工作原理,9.1.4 NAT的基本知识,网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间,主要具有以下几种功能。 (

9、1)从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。 (2)从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。 (3)支持多重服务器和负载均衡。 (4)实现透明代理。 这样在内网中计算机使用未注册的专用IP地址,而在与外部网络通信时使用注册的公用IP地址,大大降低了连接成本。同时NAT也起到将内部网络隐藏起来,保护内部网络的作用,因为对外部用户来说只有使用公用IP地址的NAT是可见的,类似于防火墙的安全措施。,9.1.4 NAT的基本知识,1NAT的工作过程 (1)客户机将数据包发给运行NAT的计算机。 (2)NAT将数据包中的端口号和专用的IP地址换

10、成它自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息。 (3)外部网络发送回答信息给NAT。 (4)NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。 以上步骤对于网络内部的主机和网络外部的主机都是透明的,对他们来讲就如同直接通信一样。如图,9.1.4 NAT的基本知识,9.1.4 NAT的基本知识,9.1.4 NAT的基本知识,2NAT的分类 (1)源NAT(Source NAT,SNAT)。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做

11、好Post-Routing的动作。Linux中的IP伪装(MASQUERADE)就是SNAT的一种特殊形式。 (2)目的NAT(Destination NAT,DNAT)。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。,9.1.4 NAT的基本知识,9.1.5 代理服务器,9.1.5 代理服务器,1代理服务器的工作原理,9.1.5 代理服务器,9.1.5 代理服务器,2代理服务器的作用 (1)提高访问速度。 (2)用户访问限制。 (3)安全性得到提高。,9.2 项目设计及准备,9.2.1 项目设计,

12、网络建立初期,人们只考虑如何实现通信而忽略了网络的安全。而防火墙可以使企业内部局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访来保护内部网络。 大量拥有内部地址的机器组成了企业内部网,那么如何连接内部网与Internet?代理服务器将是很好的选择,它能够解决内部网访问Internet的问题并提供访问的优化和控制功能。 本项目设计在安装有企业版Linux网络操作系统的服务器上安装iptabels。,9.2.2 项目准备,部署iptables应满足下列需求。 (1)安装好的企业版Linux网络操作系统,并且必须保证常用服务正常工作。客户端使用Linux或Windows网络操作系

13、统。服务器和客户端能够通过网络进行通信。 (2)或者利用虚拟机进行网络环境的设置。,9.3 项目实施,9.3.1 任务1 安装iptables,9.3.1 任务1 安装iptables,9.3.1 任务1 安装iptables,5自动加载iptables服务 (1)chkconfig。 使用chkconfig命令自动加载iptables服务,如下所示。,(2)ntsysv。 使用ntsysv命令,利用文本图形界面对iptables自动加载进行配置。,9.3.2 任务2 认识iptables的基本语法,如果想灵活运用iptables来加固系统安全的话,就必须熟练地掌握iptables的语法格式。

14、 iptables的语法格式如下。,iptables -t 表名 -命令 -匹配 -j 动作/目标,1表选项 iptables内置了filter、nat和mangle 3张表,使用-t参数来设置对哪张表生效。例如,如果对nat表设置规则的话,可以在-t参数后面加上nat,如下所示。,iptables -t nat -命令 -匹配 -j 动作/目标,-t参数是可以省略的,如果省略了-t参数,则表示对filter表进行操作。例如:,iptables -A INPUT -p icmp -j DROP,9.3.2 任务2 认识iptables的基本语法,9.3.2 任务2 认识iptables的基本语

15、法,9.3.2 任务2 认识iptables的基本语法,3匹配选项 匹配选项用来指定需要过滤的数据包所具备的条件。换句话说就是在过滤数据包的时候,iptables根据什么来判断到底是允许数据包通过,还是不允许数据包通过,过滤的角度通常可以是源地址、目的地址、端口号或状态等信息。如果使用协议进行匹配的话,就是告诉iptables从所使用的协议来进行判断是否丢弃这些数据包。在TCP/IP的网络环境里,大多数的数据包所使用的协议不是TCP类型的就是UDP类型的,还有一种是ICMP类型的数据包,例如ping命令所使用的就是ICMP协议。下面先来介绍一些较为常用的匹配选项。更多介绍请参考相关文献。,9.

16、3.2 任务2 认识iptables的基本语法,9.3.2 任务2 认识iptables的基本语法,9.3.2 任务2 认识iptables的基本语法,(3)-dport或 -destination -port。 作用:基于TCP包的目的端口来匹配包,也就是说通过检测数据包的目的端口是不是指定的来判断数据包的去留。端口的指定形式和-sport完全一样。例如:,iptables -I INPUT -dport 80 -j ACCEPT,(4)-s或-src或-source。 作用:以IP源地址匹配包。例如:,iptables -A INPUT -s 1.1.1.1 -j DROP,注意:在地址前加英文感叹号表示取反,注意空格,如:-s !192.168.0.0/24表示除此地址外的所有地址。,9.3.2 任务2 认识iptables的基本语法,4动作/目标选项 动作/目标决定符合条件的数据包将如何处理,其中最为基本的有ACCEPT和DRO

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号