一周內(nèi)學(xué)會Linux網(wǎng)絡(luò)服務(wù) 第十二章 代理與防火墻.ppt

1、代理/防火墻,第十二章,目標(biāo),了解網(wǎng)絡(luò)中防火墻的基本概念及其分類 了解代理服務(wù)的概念和分類 掌握使用iptables工具建立包過濾防火墻的方法 了解網(wǎng)絡(luò)地址轉(zhuǎn)換與路由的概念 掌握配置網(wǎng)絡(luò)地址轉(zhuǎn)換的方法 了解squid代理服務(wù)器的工作機(jī)制及其功能 掌握使用squid建立代理服務(wù)器的方法,基本概念,應(yīng)用層代理 網(wǎng)絡(luò)層防火墻 防火墻與代理的管理,防火墻概念,受保護(hù)網(wǎng)絡(luò),路由器,外部網(wǎng)絡(luò),防火墻,安全連接,不安全連接,不安全連接,應(yīng)用層代理,受保護(hù)客戶端,代理服務(wù)器,外部網(wǎng)絡(luò),TCP/IP協(xié)議模型,網(wǎng)絡(luò)層防火墻,外部網(wǎng)絡(luò),網(wǎng)絡(luò)層防火墻,受保護(hù)網(wǎng)絡(luò),TCP/IP協(xié)議模型,防火墻與代理的管理,防火墻管理

2、Ipfwadm Ipchains Netfilter/iptables 代理管理 apache squid socks,iptables,iptables基本原理 NAT與路由 iptables安裝配置,iptables基本原理,netfilter 包過濾檢查框架,數(shù)據(jù)輸入,iptables基本原理（Cont.）,iptables 安全規(guī)則管理工具 五條內(nèi)建規(guī)則鏈，對應(yīng)于netfilter鉤子函數(shù),iptables基本原理（Cont.）,iptables規(guī)則表 Filter INPUT、FORWARD、OUTPUT NAT PREROUTING、POSTROUTING、INPUT、OUTPUT

3、 Mangle OUTPUT、PREROUTING,NAT與路由,路由,NAT與路由（Cont.）,NAT,NAT與路由（Cont.）,NAT的使用 NAT的類型 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換 動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換 端口轉(zhuǎn)換 iptables實(shí)現(xiàn)NAT SNAT DNAT MASQUERADE,iptables安裝配置,安裝 配置,安裝,源代碼編譯安裝 下載 編譯安裝 RPM包安裝,/files/iptables-x.x.x.tar.bz2 /pub/iptables/iptables-x.x.x.tar.bz2,rpm -ivh ip

4、tables-1.2.7a.i386.rpm,配置,語法 可以簡化成以下形式： iptables -t table CMD chainrule-amtcher-j target,iptables -AD chain rule-specification options iptables -RI chain rulenum rule-spec options iptables -D chain rulenum options iptables -LFZ chain options iptables -NX chain iptables -E old-chain-name new-chain-na

5、me iptables -P chain target options iptables -h (print this help information),配置（Cont.）,規(guī)則操作參數(shù)說明： -A：在所選擇的鏈末添加一條或多條規(guī)則 -D：從所選鏈中刪除一條或多條規(guī)則 -R：從選中的鏈中取代一條規(guī)則 -I：從所選鏈中插入一條或更多規(guī)則 -L：顯示所選鏈的所有規(guī)則 -F：清空所選鏈 -Z：把所有鏈的包及字節(jié)的計(jì)數(shù)器清空 -N：根據(jù)給出的名稱建立一個新的用戶定義鏈 -X：刪除指定的用戶自定義鏈 -P：設(shè)置鏈的目標(biāo)規(guī)則 -E：根據(jù)用戶給出的名子對指定鏈進(jìn)行沖命名,配置（Cont.）,規(guī)則選項(xiàng),配置

6、（Cont.）,規(guī)則擴(kuò)展選項(xiàng) tcp擴(kuò)展 udp擴(kuò)展 icmp擴(kuò)展 mac擴(kuò)展 limit擴(kuò)展 multiport擴(kuò)展,配置（Cont.）,目標(biāo)擴(kuò)展 ACCEPT:讓包通過 DROP:把包拒絕 REJECT：把包丟棄,并向發(fā)送者發(fā)送ICMP消息告知包被丟棄。 SNAT：只適用于nat表的POSTROUTING鏈。它規(guī)定修改包的源地址，停止對規(guī)則的檢查。 MASQUERADE ：只用于轉(zhuǎn)發(fā)鏈和用戶定義鏈。包被偽裝成從本地主機(jī)發(fā)出，回應(yīng)的包自動解偽。 REDIRECT：只用于輸入鏈和用戶定義鏈。包被重定向到本地，盡管它們原是要發(fā)送給一個遠(yuǎn)地主機(jī)?？墒褂脜?shù)，指定重定向端口。缺省為0，表示使用包的目

7、的地址端口做為重定向端口。,配置（Cont.）,iptables A INPUT p tcp iptables p tcp sport 80 iptables a FORWARD p tcp tcp-flags ALL SYN,ACK iptables A INPUT m limit limit 300/hour iptables A INPUT m -state RELATED,ESTABLISHED,配置（Cont.）,包過濾配置,配置（Cont.）,NAT配置 DNAT SNAT MASQUERADE,iptables -t nat -A PREROUTING -t tcp -d 10.

8、25.0.7 -dport 80 -i eth1 -j DNAT -to :80,iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT -to ,iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE,緩存代理squid,squid工作機(jī)制與基本功能 squid組成成分 squid安裝配置,squid工作機(jī)制與基本功能,工作機(jī)制,數(shù)據(jù)緩存,代理進(jìn)程,遠(yuǎn)端服務(wù)器,客戶端,squid工作機(jī)制與基本功能（Cont.）,基本功能 代理服務(wù)

9、：HTTP、FTP、GOPHER、SSL 等 高速緩存 DNS查詢緩存 級聯(lián)服務(wù)支持 透明代理 ACL支持,squid組成成分,代理進(jìn)程 squid 代理守護(hù)進(jìn)程 unlinkd 清理緩存數(shù)據(jù) RunCache squid進(jìn)程的守護(hù)進(jìn)程 dnsserver 處理客戶端域名查詢進(jìn)程 數(shù)據(jù)緩存目錄 默認(rèn)/var/spool/squid,squid安裝配置,安裝 配置 啟動 訪問 其它配置 透明代理,安裝,源代碼包安裝 下載 編譯安裝 RPM包安裝 編譯參數(shù) -prefix=/usr/local/squid -disable-internal-dns -enable-storeio=ufs,null

10、 -enable-default-err-languages=Simplify_Chinese“ -enable-linux-netfilter,,rpm -ivh squid-2.5.STABLE1-2.i386.rpm,配置,http_port :3128 cache_mgr http_access allow all cache_dir ufs /var/spool/squid 100 16 256,啟動,使用/etc/rc.d/init.d/squid腳本啟動代理服務(wù)器,訪問,客戶端設(shè)置 IE工具Internet

11、選項(xiàng)連接局域網(wǎng)設(shè)置代理服務(wù)器 直接在地址欄中輸入訪問地址進(jìn)行訪問,其它配置,緩存空間 cache_dir Type Directory-Name Fs-specific-data options 用戶訪問控制 acl aclname acltype string1 . acl aclname acltype file . 進(jìn)程管理 cache_effective_user cache_effective_group,允許列表中的機(jī)器訪問 Internet,允許列表中的機(jī)器訪問 Internet。 acl allowed_clients src 0 0

12、 0 http_access allow allowed_clients http_access deny !allowed_clients 這個規(guī)則只允許 IP 地址為 0、0 及 0 的機(jī)器訪問Internet，其他 IP 地址的機(jī)器則都被拒絕訪問,限制訪問時段,acl allowed_clients src / acl regular_days time MTWHF 10:00-16:00 http_access allow allowed_client

13、s regular_days http_access deny !allowed_clients 這個規(guī)則允許子網(wǎng)中的所有客戶機(jī)在周一到周五的上午10:00到下午4:00 訪問 Internet。,屏蔽含有某些特定字詞,acl allowed_clients src / acl banned_sites url_regex dummy fake http_access deny banned_sites http_access allow allowed_machibes,自定錯誤反饋信息,acl allowed_clien

14、ts src / acl banned_sites url_regex *()(*.com http_access deny banned_sites deny_info ERR_BANNED_SITE banned_sites http_access allow allowed_clients,透明代理,透明代理,代理 進(jìn)程,透明代理（Cont.）,透明代理網(wǎng)絡(luò)圖,本章總結(jié),網(wǎng)絡(luò)防火墻是保護(hù)用戶網(wǎng)絡(luò)安全的一種必要手段，它通過在網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)牟煌瑢哟螌?shù)據(jù)包進(jìn)行檢測處理，對符合網(wǎng)絡(luò)安全要求的數(shù)據(jù)包放行，而對不符合要求的數(shù)據(jù)包進(jìn)行拒絕，很大程度上保

15、證了網(wǎng)絡(luò)的安全可靠,本章總結(jié)（Cont.）,網(wǎng)絡(luò)防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層代理服務(wù)器 網(wǎng)絡(luò)層防火墻在TCP/IP網(wǎng)絡(luò)結(jié)構(gòu)的IP層工作，能夠?qū)νㄟ^IP路由傳送的網(wǎng)絡(luò)數(shù)據(jù)包的包頭進(jìn)行檢測，根據(jù)包頭中的信息來匹配防火墻規(guī)則，對連接進(jìn)行相應(yīng)處理。處理效率高，不能對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測. 應(yīng)用層代理服務(wù)器工作在TCP/IP網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的應(yīng)用層，向受保護(hù)網(wǎng)絡(luò)用戶提供連接外部網(wǎng)絡(luò)的代理服務(wù)，保證內(nèi)外網(wǎng)之間的安全分隔。可對網(wǎng)絡(luò)傳送的內(nèi)容進(jìn)行檢測，保證更多的安全控制方案，但處理效率較低.,本章總結(jié)（Cont.）,基于Linux平臺的網(wǎng)絡(luò)層防火墻是netfilter/iptables防火墻框架系統(tǒng)。netfilt

16、er是嵌入在2.4內(nèi)核的IP協(xié)議部分的防火墻框架，它在IP處理層設(shè)置了5個鉤子，分別在網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入系統(tǒng)路由前、進(jìn)入系統(tǒng)路由后、轉(zhuǎn)發(fā)前、本地輸出路由前、輸出路由后進(jìn)行檢測處理。而iptables則是防火墻規(guī)則設(shè)置工具，它向netfilter提供網(wǎng)絡(luò)數(shù)據(jù)包檢測處理的規(guī)則，以完成管理員對防火墻的防護(hù)要求,本章總結(jié)（Cont.）,iptables包括3個表和5條內(nèi)建的規(guī)則鏈，對應(yīng)于netfilter的五個檢測點(diǎn)，用戶也可以新建自己的規(guī)則鏈，被內(nèi)建規(guī)則鏈作為目標(biāo)調(diào)用。iptables通過這些規(guī)則鏈完成了包安全過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、安全策略設(shè)置及其它功能 squid是一個應(yīng)用層代理服務(wù)器，能夠?yàn)橛脩籼峁〩TTP、FTP、GOPHER、WAIS、SSL的代理和緩存服務(wù)。并且能和iptables配合建立透明代理服務(wù)器。squid服務(wù)器的主要配置文件為/