《Linux网络操作系统 教学课件 ppt 作者 赵军 刘猛 项目十Linux的防火墙与代理》由会员分享,可在线阅读,更多相关《Linux网络操作系统 教学课件 ppt 作者 赵军 刘猛 项目十Linux的防火墙与代理(44页珍藏版)》请在金锄头文库上搜索。
1、项目十 Linux的防火墙与代理,项目十 Linux的防火墙与代理,任务1 防火墙的启动和关闭 任务2 防火墙控制实例 任务3 架设代理服务器,任务1 防火墙的启动和关闭,防火墙技术是建立在现代信息网络基础上的安全技术,常用于专用网络与公用网络的互联环境中。防火墙是在内部网络与外部网络之间实施安全防范的系统,其主要功能在于保护可信网络免受非可信网络威胁的同时,允许内、外网络间的合理通信,大部分的防火墙被用于Internet与内部网之间。 防火墙技术根据防范方式和侧重点的不同分为多种类型,有的以软件形式运行在计算机上,有的以硬件形式设计在网络设备中,大概可分为以下几种:包过滤防火墙、应用网关防火
2、墙和代理服务器防火墙。,任务1 防火墙的启动和关闭,Linux系统的防火墙是在iptables服务下设定的,iptables是与2.4.X和2.6.X系列版本Linux内核集成的IP信息包过滤系统,包括netfilter和iptables两个组件。netfilter也称为内核空间,集成在内核中,主要由一些信息包过滤表组成,这些表中包含控制信息包过滤处理的规则,而这些规则被分组放在链(chain)中,使内核根据源地址、目的地址或具有某些协议类型的信息包的相应处理规则,完成信息包的处理、控制和过滤等操作;iptables也被称为用户空间,用户可以用它来添加、编辑和删除信息包过滤表中的规则,这些规则
3、就是netfilter组件处理信息包的依据。通过使用iptables,用户可以自己定制各种安全策略实现对防火墙和信息包过滤的控制。,任务1 防火墙的启动和关闭,步骤1图形界面操作方法。 点击【系统】【管理】【防火墙】,弹出【防火墙设置】对话框,如图所示 步骤2点击【防火墙设置】对话框工具栏上的“启用”或“禁用”图标,即可启动或关闭防火墙。,任务1 防火墙的启动和关闭,启动终端,并切换到root帐号,输入以下命令可完成相应的操作。 步骤3防火墙的启动与关闭。 启动防火墙:#service iptables start 关闭防火墙:#service iptables stop 步骤4防火墙的重新启
4、动。 #service iptables restart 步骤5防火墙的状态检测。 #service iptables status,任务1 防火墙的启动和关闭,如果希望系统启动时自动加载防火墙,可在终端中输入ntsysv命令,利用文本图形对iptables自动加载进行配置,如图所示。,任务2 防火墙控制实例,1、iptables的组成结构 iptables防火墙由多个“表”组成,每个表由若干个“链”组成,而每条链中由若干条“规则”组成。换句话说,防火墙是表的容器,表是链的容器,而链又是规则的容器。默认情况下,iptables至少有三个表,包括管理包过滤的filter表、管理网络地址转换的na
5、t表和进行包重构的mangle表(较少使用)。,任务2 防火墙控制实例,2、链和规则 链是数据包的传播途径,每一条链是许多规则中的一个检查清单,每一条链中可以有若干条规则。当一个数据包到达一个链时,iptables就会从第一条规则开始检查数据包是否符合该规则所定义的条件。如果满足,iptables将根据该条规则所定义的方法处理该数据包;否则,将继续检查下一条规则。如果该数据包不符合该链中任何一条规则,那么iptables就会根据该链预先定义的策略来处理该数据包。 规则是网络管理员预先设定的条件,规则都这样定义“如果数据包头符合这样的条件,就这样处理这个数据包”。规则通常指定了源地址、目的地址、
6、传输协议(tcp、udp、icmp)、服务类型(http、ftp、smtp)和对数据包的处理方法,处理方法一般有:放行(ACCEPT)、拒绝(REJECT)和丢弃(DROP)等。从而防火墙可以利用规则对来自某个源、到某个目的地或具有特定协议类型的数据包进行过滤。防火墙的配置工作也主要是增加、修改和删除这些规则,规则的建立可以使用iptables命令完成。,任务2 防火墙控制实例,3、iptables命令 iptables命令的基本格式如下: iptables -t 表 链 匹配规则 j 动作/目标 注意:括起来的为必选项, 括起来的为可选项。iptables命令严格区分大小写。,任务2 防火墙
7、控制实例,步骤1禁止用户访问某些服务 禁止192.168.100.0子网里所有的客户端使用Telnet协议(即封闭TCP协议的23端口),然后查看filter表的FORWARD链规则列表。在终端中输入如下命令: #iptables I FORWARD s 192.168.100.0/24 p tcp dport 23 j DROP #iptables t filter L FORWARD,任务2 防火墙控制实例,步骤2禁止某些用户使用ICMP协议。 禁止Internet上计算机通过ICMP协议ping到本机的eth0接口,然后查看filter表的INPUT链规则列表,在终端中输入如下命令: #
8、iptables I INPUT i eth0 p icmp j DROP #iptables t filter L INPUT,任务2 防火墙控制实例,步骤3iptables命令实例 实例一、将filter表的INPUT链的默认策略定义为接收数据包。 #iptables P INPUT j ACCEPT 注意此处的“P”为大写。 实例二、查看nat表中所有链的规则。 #iptables t nat L 实例三、为filter表的INPUT链添加一条规则,规则为允许访问TCP协议的80端口的数据包通过。 #iptables A INPUT p tcp -dport 80 j ACCEPT 实例
9、四、在filter表的INPUT链规则列表中的第二条规则前插入一条规则,规则的内容是禁止192.168.100.0这个子网里的所有主机访问TCP协议的53端口。 #iptables t filter I INPUT 2 s 192.168.100.0/24 p tcp -dport 53 j DROP 本例中INPUT后的2表示在第2条规则前插入规则;192.168.100.0/24表示子网掩码的二进制位数是24位,即255.255.255.0。,任务2 防火墙控制实例,步骤3iptables命令实例 实例五、删除filter表的INPUT链规则列表中的第三条规则。 #iptables t f
10、ilter D INPUT 3 实例六、删除filter表中所有规则。 #iptables F 实例七、防火墙规则的保存与恢复 (1)将防火墙规则保存到/etc/iptables-save文件中。 #iptables-save /etc/iptables-save (2)将/etc/iptables-save文件中的防火墙规则恢复到当前系统。 #iptables-restore /etc/iptables-save 实例八、添加规则禁止用户访问域名为的网站。 #iptables I FORWARD d j DROP 注意:本例中-d后面既可以是域名也可以是IP地址。 实例九、添加规则禁止IP
11、地址为192.168.100.5的客户端上网。 #iptables I FORWARD s 192.168.100.5 j DROP 注意:如果要禁止某个子网的所有用户上网,只需将本例中的IP地址改为子网的形式即可。,任务3 架设代理服务器,1、代理服务器概述 代理服务器的英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息,它就是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,需送出请求信号来得到回答,然后对方再把信息以数据流方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到
12、Web服务器去取回网页而是向代理服务器发出请求,请求信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给终端用户的浏览器。而且,大部分代理服务器都具有缓冲功能,就好像有一个大的缓冲池,它有很大的存储空间,不断地将新取得的数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器请求获取数据,而直接将存储器上缓存的数据传送给终端用户的浏览器,这样就能显著提高浏览速度和效率。代理服务器的主要作用有以下几点:共享网络、访问代理、防止攻击、突破限制、掩藏身份、提高速度、方便对用户管理。此外,代理服务器还能起到防火墙的作用。因为
13、所有使用代理服务器的用户都必须通过代理服务器访问远程站点,因此在代理服务器上就可以设置相应的限制,以过滤或屏蔽掉某些信息。这是局域网管理员对局域网用户访问范围限制最常用的办法,也是局域网用户为什么不能浏览某些网站的原因。,任务3 架设代理服务器,2、代理服务器的工作原理 代理服务器是建立在TCP/IP协议应用层上的一种服务软件,是以HTTP协议为基础的。工作过程简单来说分为四步:客户端向服务器发送的请求到达代理服务器;代理服务器把请求转发给客户端真正需要联系的服务器;服务器向代理服务器返回响应;代理服务器把响应返回给客户端。,任务3 架设代理服务器,3、squid简介 squid系统是一个在U
14、NIX系统下运行的全功能的代理服务器软件。它可以为HTTP协议、FTP协议及其他使用URL方式定位的协议作缓存;它支持客户端使用SSL协议进行数据传送;它可以使用ICP、HTCP、CARP、Cache Digests等协议和其他运行squid的服务器进行协同;它支持SNMP协议,可以用相应的软件来进行协调和管理。 squid系统的另外一个优越性在于它使用访问控制列表(ACL)和访问权限列表(ARL)进行权限管理和内容过滤。访问控制列表和访问权限列表通过组织特定的网络连接来减少潜在的Internet非法连接,可以使用这些清单来确保内部网的主机无法访问有威胁的或不适宜的网站。,任务3 架设代理服务
15、器,步骤1下载并安装squid。 (1)确保本机正确设置网络参数并已处于连接到Internet状态,点击【应用程序】【添加/删除软件】,打开【软件包管理者】对话框,并切换到【搜索】分页选项。在搜索栏中输入“squid”,点击【搜索】按钮,如图所示。,任务3 架设代理服务器,步骤1下载并安装squid。 (2)在列表中选择“squid-2.6.STABLE21-3.el5.i386-Squid代理缓存服务器”,并点击【应用】按钮,弹出【软件包选择】对话框,点击【继续】按钮,如图所示。,任务3 架设代理服务器,步骤1下载并安装squid。 (3)在安装过程中,系统会检测与该软件有关的软件,弹出【添
16、加所需的依赖的软件】对话框,点击【继续】按钮,如图所示。,任务3 架设代理服务器,步骤1下载并安装squid。 (4)开始下载并安装软件包,安装完毕弹出【软件包安装已成功完成】对话框,点击【确定】按钮,任务3 架设代理服务器,步骤2完成squid的基本配置。 在完成squid的安装工作后,在目录“/etc/squid”中会自动产生一个“squid.conf”配置文件,该文件包括了全部的squid配置选项和注释,代理服务器的全部设置都在该文件中进行。 主要参数配置如下:,任务3 架设代理服务器,(1)设置监听的IP地址和端口。squid.conf文件中的http_port参数指定squid在哪个IP地址的哪个端口侦听客户机请求,默认是在本机所有IP地址的3128端口侦听。当squid作为防火墙运行时,它可能有两个网络接口:一个内部接口和一个外部接口。大部分网络管理员希望squid仅侦听来自内部网络客户机的请求,因此
