《Linux网络服务器配置与管理项目教程 教学课件 ppt 作者 谢树新 《Linux网络操作系统项目教程》-项目11》由会员分享,可在线阅读,更多相关《Linux网络服务器配置与管理项目教程 教学课件 ppt 作者 谢树新 《Linux网络操作系统项目教程》-项目11(16页珍藏版)》请在金锄头文库上搜索。
1、Linux网络服务器 配置与管理项目教程,信息工程系 谢树新 2011.9,目 录,安装Linux构建网络环境,项目1-,项目2-,管理Linux文件系统,项目3-,项目4-,项目5-,项目6-,配置与管理Samba服务器,配置与管理NFS服务器,配置与管理DHCP服务器,管理Linux操作系统,配置与管理DNS服务器,项目7-,项目8-,配置与管理Web服务器,项目9-,项目10-,项目11-,配置与管理E-mail服务器,配置防火墙与NAT服务器,配置与管理FTP服务器,项目11 配置防火墙与NAT服务器,本项目详细介绍了防火墙的基本概念、工作原理、iptables的安装及配置与管理防火墙
2、的具体方法。通过任务案例引导大家检查并安装iptables;全面分析配置命令iptables的使用方法;具体训练大家利用iptables配置与管理防火墙的技能以及配置与管理NAT的技能。,11.1 情境描述,在天一电子产品研发中心的网络改造项目中,谢立夫负责的技术开发和服务器的配置与管理,已经基本完成了各类服务器的配置与管理等工作,在整个过程中,谢立夫认真负责、刻苦钻研,解决了一个又一个难题,新奇网络的蒋主任非常满意,同时也得到了研发中心杨主任的好评。 天一电子产品研发中心各类服务器的配置与管理开展十分顺利,系统使用也很正常。但是,现在内网与外网之间没有任何屏障,这样系统它既不能保护内网资源不
3、被外部非授权用户非法访问或破坏,也无法阻止内部用户对外部不良资源的滥用,更不能对发生在网络中的安全事件进行跟踪和审计。此时,谢立夫在服务器中应该进行哪些配置才能为天一研发中心解决上述问题呢?,11.2 任务分析,11.3 知识储备,11.3.1 防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。 11.3.2 防火墙的类型和工作原理 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型(Packet filtering)”(也称“分组过滤型
4、”)和“应用代理型”两大类。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。,图11-5 应用代理防火墙工作原理图,图11-6 状态检测防火墙工作原理图,11.3 知识储备,11.3.3 防火墙的构造体系 在现有防火墙产品和技术中,将包过滤技术和多种应用技术融合到一起,构成复合型防火墙体系统结构是目前国内防火墙产品的一个特点,也是防火墙今后发展的主流技术。 11.3.4 防火墙的访问规则 1、防火墙的默认设置:防火墙有拒绝所有的通信和允许所有的通信两种默认配置。 2、防火墙的规则元素:访问规则定义了允许或拒绝网络之间的通信的条件。访问规则中运用的元素是防火墙中可用于创建特定访问规
5、则的配置对象,规则元素一般可分为协议、用户集、内容类型、计划和网络对象等五种类型。 3、访问规则的定义:创建访问规则的步骤是选择适当的访问规则元素,然后定义元素之间的关系。 11.3.5 NAT工作原理 NAT并不是一种网络协议,而是一种过程,它将一组IP地址映射到另一组IP地址,而且对用户来说是透明的。NAT通常用于将内部私有的 IP地址翻译成合法的公网IP地址,从而可以使内网中的计算机共享公网 IP,节省了IP地址资源。,11.4 项目实施,Step 1,Step 2,Step 3,检查iptables软件包:使用rpm qa|grep iptables命令检测一下系统是否安装了iptab
6、les软件包,或查看已经安装的软件包的版本。,安装iptables软件包:将RHEL5的1号安装盘放入光驱,首先使用mount命令挂载光驱,然后使用rpm命令安装iptables软件包,操作方法如图10-5所示,检查确认:所有软件包安装完毕后,同样使用rpm qa命令进行查询 。,【操作步骤】,Step 1,Step 2,设置默认策略:当数据包不符合链中的任一条规则时,iptables将根据该链预先定义的默认策略来处理数据包,默认策略的定义命令格式是: iptables -t 表名 -P -链名 -j 动作/目标,查看iptables规则:在进行防火墙的配置过程中,经常需要列出表/链中的所有规
7、则。其命令的格式如下。 iptables -t 表名 -L -链名,【操作步骤】,任务案例11-2(使用iptables配置防火墙 ),插入、删除和修改规则:插入、删除和修改规则时所使用的命令格式如下。,Step 3,保存与恢复防火墙规则:iptables-save -c -t 表名,Step 4,清除规则和计数器 :可以使用清除规则参数快速删除所有规则,命令格式如下。 iptables -t 表名 ,Step 5,Step 1,Step 2,Step 3,停止iptables服务:与启动iptables服务类似,同样有两种方法停止iptables服务。,重启iptables服务:对iptab
8、les服务器进行了相应配置后,如果需要让其生效,则需要对服务器进行重启 。,【操作步骤】,自动加载iptables服务:可以使用chkconfig命令自动加载,也可以使用ntsysv命令,利用文本图形界面对iptables自动加载。,Step 4,任务案例11-3(启动与停止iptables ),启动iptables服务:使用service iptables start命令启动iptables服务,操作方法如图11-18所示。,Step 1,Step 2,配置默认策略:(1)使用iptables -F清除预设表filter中所有规则链中的规则;(2)使用 iptables -X 和iptabl
9、es -Z清除预设表filter中使用者自定链中的规则;(3)设置默认策略为关闭filter表的INPPUT及FORWARD链,开启OUTPUT链 。,设置回环地址:iptables -A INPUT -i lo -j ACCEPT,【操作步骤】,任务案例11-4(企业配置案例分析 ),连接状态设置:#iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT,Step 3,Step 4,设置80端口转发:#iptables -A FORWARD -p tcp -dport 80 -j ACCEPT 。,Step 5,Step
10、 6,DNS相关设置:开启DNS使用UDP、TCP的53端口,配置方法如下。 rootRHEL5 /#iptables -A FORWARD -p tcp -dport 53 -j ACCEPT rootRHEL5 /#iptables -A FORWARD -p udp -dport 53 -j ACCEPT。,设置允许访问服务器的SSH:设置方法如下。 rootRHEL5 /#iptables -A INPUT -p tcp -dport 22 -j ACCEPT,【操作步骤】,任务案例11-4(续 ),设置允许内网主机登录MSN和QQ:QQ能够使用TCP80、8000、443及UDP80
11、00、4000端口登录,而MSN需通过TCP1863、443端口的验证。因此只需要允许这些端口的FORWARD转发即可以正常登录。,Step 7,Step 8,设置允许内网主机收发邮件:客户端发送邮件时访问邮件服务器的TCP25端口。接收邮件时,可能使用的端口较多 。,Step 9,Step 10,设置NAT端口映射:具体配置如下。 rootrhel5 #iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE,内网机器对外发布WEB网站:rootrhel5 #iptables -t nat -A PREROU
12、TING -i ppp0 -p tcp -dport 80 -j DNAT -to-destination 192.168.0.3:80,【操作步骤】,任务案例11-4(续 ),保存与恢复iptables配置:使用iptables-save保存配置内容,语法格式如下:iptables-save -c -t 表名,Step 11,Step 12,查看iptables全部配置:最终iptables配置情况如何,使用以下方法查看。 rootrhel5 # iptables -L,11.5 技能训练,任务分析,这个网络结构假设内部网有有效的Internet地址。为了将内部网段192.168.80.0/
13、24与Internet隔离,在内部网络和Internet之间使用了包过滤防火墙。防火墙的内网接口是eth1(198.168.80.254),防火墙的Internet接口是eth0(198.199.37.254)。另外,内网中有3台服务器对外提供服务。,图8-23 包过滤防火墙结构图,11.6 总结提高,本项目首先介绍了防火墙的工作原理,NAT的工作原理和iptables软件包的安装方法,iptables的命令格式及配置方法,然后着重训练了包过滤防火墙的配置技能,最后训练了大家使用iptables实现NAT的技能等。 防火墙是目前网络安全中应用最为广泛的服务之一,它的功能非常强大,随着读者学习的深入和对防火墙应用的熟练,更能体会到这一点。通过本项目的学习,你的收获怎样,请认真填写学习情况考核登记表,并及时予以反馈,谢谢!,Communication Engineering Department,本项目结束,祝大家学习进步!,
