《{售后服务}项目14防火墙与squid代理服务器的搭建》由会员分享,可在线阅读,更多相关《{售后服务}项目14防火墙与squid代理服务器的搭建(71页珍藏版)》请在金锄头文库上搜索。
1、Linux系统管理与网络服务,Linux系统管理与网络服务教材配套的光盘为师生双方提供了丰富的教学资源。主要包括:课程标准(教学大纲)、教学设计方案(教案)、PPT课件、项目习作参考答案、配套软件清单及下载地址、模拟试卷及评分标准和参考答案(4套)、网络管理员职责、相关认证考试介绍与往年试卷、知识拓展资料、网络工程案例与解决方案。 教材主编:夏笠芹 出版社:,项目14 防火墙与squid代理服务器的搭建,【职业知识目标】 了解:防火墙的基本概念、分类与作用;Squid代理服务器的分类及特点 熟悉:Linux防火墙的架构及包过滤的匹配流程 掌握:iptables命令的格式和使用;NAT的配置方法
2、; 【职业能力目标】 会安装iptables软件包; 能使用iptables命令设置包过滤规则 会配置NAT服务 会安装Squid软件包 会架设普通代理、透明代理和反向代理服务器 会在客户端测试iptables和Squid的配置情况,14.1 项目背景,信息安全始终是企业信息化中一个不可忽视的重要方面;而如何在保障企事业内部网络安全的同时为内网和外网(互联网)的用户提供高效、安全、稳定可靠的访问服务,是网络管理员所考虑的问题。RHEL 5内置的iptables防火墙和代理服务器则为我们提供了一种物美价廉的解决方案。,14.2 项目知识准备,14.2.1 认识防火墙(firewall) 1什么是
3、防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。 在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。,2. 防火墙的功能 过滤进出网络的数据包,封堵某些禁止的访问行为 对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。 对网络攻击进行检测和告警。 防火墙可以保护网络免受基于路由的攻击
4、,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。 提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。,14.2.1 认识防火墙(firewall),3. 防火墙的类型 1)按采用的技术划分 包过滤型防火墙在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则,通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素,来决定是否允许该数据包通过。(包的大小1500字节) 代理服务器型防火墙是运行在防火墙之上的一种应用层服
5、务器程序,它通过对每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。,14.2.1 认识防火墙(firewall),2)按实现的环境划分 软件防火墙:学校、上前台电脑的网吧 普通计算机+通用的操作系统(如:linux) 硬件(芯片级)防火墙:基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如: NetScreen、FortiNet ) 通常有三个以上网卡接口 外网接口:用于连接Internet网; 内网接口:用于连接代理服务器或内部网络; DMZ接口(非军事化区):专用于连接提供服务的服务器群。,Cons
6、ole口,4个10/100/1000口,并发连接数:500000 网络吞吐量:1100Mbps 过滤带宽 :250Mbps,CheckPoint UTM-1 570,14.2.1 认识防火墙(firewall),14.2.2 Linux防火墙概述,1Linux防火墙的历史 从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段: 在2.0内核中,包过滤的机制是ipfw,管理防火墙的命令工具是ipfwadm。 在2.2内核中,包过滤的机制是ipchain,管理防火墙的命令工具是ipchains。 在2.4之后的内核中,
7、包过滤的机制是netfilter,防火墙的命令工具是iptables。,2Linux防火墙的架构 Linux防火墙系统由以下两个组件组成: netfilter: netfilter是集成在内核中的一部分 作用是定义、保存相应的过滤规则。 提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。 netfilter是表的容器,表是链的容器,而链又是规则的容器。 表链规则的分层结构来组织规则 iptables: 是Linux系统为用户提供的管理netfilter的一种工具,是编辑、修改防火墙(过滤)规则的编辑器 通过这些规则及其他配置,告诉内核的netfilter对来自某些源、
8、前往某些目的地或具有某些协议类型的数据包如何处理。 这些规则会保存在内核空间之中。,14.2.2 Linux防火墙概述,表链规则的分层结构来组织规则,14.2.2 Linux防火墙概述,1表(tables) 专表专用 filter表包过滤 含INPUT、FORWARD、OUTPUT三个链, nat表包地址修改:用于修改数据包的IP地址和端口号,即进行网络地址转换。 含PREROUTING、POSTROUTING、OUTPUT三个链, mangle表包重构:修改包的服务类型、生存周期以及为数据包设置Mark标记,以实现Qos(服务质量)、策略路由和网络流量整形等特殊应用。 含PREROUTING
9、、POSTROUTING、INPUT、OUTPUT和FORWARD五个链, raw表数据跟踪:用于数据包是否被状态跟踪机制处理 包含PREROUTING、OUTPUT两个链。,14.2.3iptables规则的分层结构,2链(chains)处理的数据包流向的不同 INPUT链当数据包源自外界并前往防火墙所在的本机(入站)时,即数据包的目的地址是本机时,则应用此链中的规则。 OUTPUT链当数据包源自防火墙所在的主机并要向外发送(出站)时,即数据包的源地址是本机时,则应用此链中的规则。 FORWARD链当数据包源自外部系统,并经过防火墙所在主机前往另一个外部系统(转发)时,则应用此链中的规则。
10、PREROUTING链当数据包到达防火墙所在的主机在作路由选择之前,且其源地址要被修改(源地址转换)时,则应用此链中的规则。 POSTROUTING链当数据包在路由选择之后即将离开防火墙所在主机,且其目的地址要被修改(目的地址转换)时,则应用此链中的规则。 用户自定义链,14.2.3iptables规则的分层结构,3规则(rules) 规则其实就是网管员预定义的过滤筛选数据包的条件。 规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。 当数据包与规则匹配时,iptables就根据规则所定义的动作来处理这些数据包(如放行、丢弃和拒绝等)。 配置防火墙的主要工作就是添加、修改和
11、删除这些规则。 学习防火墙就是学习这些规则如何去写,14.2.3iptables规则的分层结构,14.2.4数据包过滤匹配流程,表间的优先顺序 依次为:raw、mangle、nat、filter 链间的匹配顺序 入站数据:PREROUTING、INPUT 出站数据:OUTPUT、POSTROUTING 转发数据:PREROUTING、FORWARD、POSTROUTING 链内规则的匹配顺序 按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外) 若在该链内找不到相匹配的规则,则按该链的默认策略处理,14.2.5 代理服务器squid,1Squid代理服务器的作用 Squid除了具有
12、防火墙的代理、共享上网等功能外,还有以下特别的作用: 加快访问速度,节约通信带宽 多因素限制用户访问,记录用户行为 2Squid代理服务器的工作流程,3Squid代理服务器的分类及特点 Squid代理服务器按照代理的设置方式可以分为以下三种: 普通(标准)代理服务器 这种代理服务器需要在客户端的浏览器中设置代理服务器的地址和端口号。 透明代理服务器 透明代理是NAT和代理的完美结合,之所以称为透明,是因为在这种方式下用户感觉不到代理服务器的存在,不需要在浏览器或其它客户端工具(如网络快车、QQ、迅雷等)中作任何设置,客户机只需要将默认网关设置为代理服务器的IP地址便可。 反向代理服务器 普通代
13、理和透明代理是为局域网用户访问Internet中的Web站点提供缓存代理,而反向代理恰恰相反,是为Internet中的用户访问企业局域网内的Web站点提供缓存加速。,14.2.5 代理服务器squid,14.3 项目实施,任务14-1 iptables服务的安装 1安装iptables软件包 因为netfilter/iptables的netfilter组件是与内核集成在一起的,所以只需要安装iptables工具,默认情况下系统会安装该软件包,可通过下面命令检查是否已安装: rootServer1 # rpm -qa |grep iptables iptables-ipv6-1.3.5-5.3.
14、el5 iptables-1.3.5-5.3.el5 若输出了版本信息,则表明系统已安装。 若未安装可在RHEL 5安装光盘中找到安装包iptables-1.3.5-5.3.el5.i386.rpm进行安装便可。,2iptables服务的常用管理命令 设置完成后可启动、停止或重启iptables服务了,其有关命令如下: (1)iptables服务的启动、停止或重新启动 service iptables start|stop|restart (2)iptables服务的自动启动 # chkconfig -level 345 iptables on # ntsysv 此命令打开文本图形界面,在ip
15、tables前面选中“*”,确定后即可实现开机自动加载iptables服务,否则取消掉“*”就不自动加载了。,任务14-1 iptables服务的安装,是对防火墙配置管理的核心命令,其基本格式为: iptables -t 表名 命令选项 链名 -匹配条件 -j 目标动作/跳转 其中: 表名、链名用于指定所操作的表和链,若未指定表名,则filter作为缺省表。 命令选项指定管理规则的方式 ,常用的命令选项见表15-1。 匹配条件用于指定对符合什么样的条件的包进行处理,常用条件匹配见表15-2。 目标动作/跳转用来指定内核对数据包的处理方式,如允许通过、拒绝、丢弃或跳转给其他链进行处理等,常用目标
16、动作/跳转见表15-3。,任务14-2 认识iptables命令的基本格式,任务14-2 认识iptables命令的基本格式,任务14-2 认识iptables命令的基本格式,网络层的IP数据包、传输层TCP数据包,任务14-2 认识iptables命令的基本格式,任务14-2 认识iptables命令的基本格式,任务14-3 iptables命令的基本使用,1添加、插入规则 # iptables -t filter -A INPUT -p tcp -j ACCEPT # iptables -I INPUT -p udp -j ACCEPT # iptables -I INPUT 2 -p icmp -j ACCEPT 2查看规则 # iptables -t filter -L INPUT -line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp - anywhere anywhere 2 ACCEPT icmp - anywhe
