第8章 代理服务器与防火墙

null第7章内容回顾Page */47第7章内容回顾SMTP、POP3和IMAP是邮件系统中使用的网络 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，可实现邮件的发送和收取 Sendmail是RHEL4系统中缺省安装使用的邮件服务器 dovecot服务器可提供pop3和imap4服务 通过OpenWebmail提供的界面用户可以使用浏览器管理邮箱和收发邮件 使用Sendmail、dovecot和OpenWebmail可以构建完整的邮件应用系统 代理服务器与防火墙代理服务器与防火墙第8章本章目标Page */47本章目标了解防火墙和代理服务器的基本概念 掌握Linux系统中的防火墙管理 掌握squid代理服务器管理 本章结构Page */47本章结构应用层代理 Page */47应用层代理 应用层代理的基本概念 应用层代理针对特定的网络协议提供代理服务 HTTP代理和FTP代理是应用层代理的典型应用 使用代理服务器可以解决的问题 局域网中的所有主机都可以通过同局域网中具有互联网访问能力的代理服务器主机进行外部网络的访问 代理服务器对已经访问过的内容提供缓存，可有效的减少对外部网络的访问流量，并能够提高频繁访问的页面的访问效率 通过代理服务器可以进行一定程度的访问控制，可以对客户端和被访问页面进行控制代理服务的应用原理Page */47代理服务的应用原理代理服务器工作在TCP/IP的应用层网络层防火墙 Page */47网络层防火墙 网络防火墙软件的主要功能 对进入和流出的IP数据包进行过滤，屏蔽不符合要求的数据包，保证内部网络的安全 提供数据包的路由选择，实现网络地址转换（NAT），从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求 防火墙的类型 硬件防火墙是功能专一的硬件设备，价格昂贵 软件防火墙的功能是由计算机中的软件实现的，具有相当大的价格优势 网络层防火墙的应用原理Page */47网络层防火墙的应用原理网络防火墙工作在TCP/IP的网络层Linux中代理服务和防火墙的实现Page */47Linux中代理服务和防火墙的实现Linux中使用软件实现代理和防火墙功能 使用netfilter/iptables架构实现网络防火墙的基本功能 使用squid服务器软件实现HTTP服务的代理功能 Linux防火墙软件的发展与实现 Page */47Linux防火墙软件的发展与实现 Linux中的防火强功能是由内核实现的 在2.0内核中，网络防火墙的操作工具名称是ipfwadm 在2.2内核中，网络防火墙的操作工具名称是ipchains 在2.4之后的内核中，网络防火墙的操作工具名称是iptables netfilter与iptables 在Linux的内核中使用netfilter架构实现防火墙功能 iptables是Linux系统中为用户提供的netfilter管理工具，用于实现对Linux内核中网络防火墙的管理 iptables规则链 Page */47iptables规则链 iptables缺省具有5条规则链iptables规则表 Page */47iptables规则表 iptables缺省具有3个规则表 Filter：用于设置包过滤 NAT：用于设置地址转换 Mangle：用于设置网络流量整形等应用 不同的规则表由不同的规则链组成 Filter：INPUT、FORWARD、OUTPUT NAT：PREROUTING、POSTROUTING、OUTPUT Mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARDnetfilter/iptables的典型应用Page */47netfilter/iptables的典型应用netfilter/iptables的典型应用 作为主机防火墙实现外部网络与主机之间的访问控制 作为网络防火墙提供外部网络与内部网络的访问控制 作为网关服务器实现网络地址转换（NAT）功能，实现内部网络通过网关主机共享访问外部网络 netfilter/iptables可以在Linux系统中实现网络防火墙的各种常用功能iptables的软件包组成Page */47iptables的软件包组成RHEL4中的iptables软件包 # rpm -q iptables iptables-1.2.11-3.1.RHEL4 iptables软件包中的管理命令 iptables是主要的管理命令，对网络防火墙功能的管理都是通过iptables命令实现的 iptables-save命令可以将当前系统中的防火墙设置进行保存 iptables-restore命令可以将使用iptables-save命令保存的防火墙策略配置恢复到当前系统中 iptables服务的启动与停止 Page */47iptables服务的启动与停止 iptables服务启动脚本 /etc/rc.d/init.d/iptables iptables配置文件与策略设置文件 iptables配置文件 /etc/sysconfig/iptables-config 策略设置文件 /etc/sysconfig/iptables iptables服务的启动与停止 iptables服务缺省自动启动 可通过启动脚本手工启动和停止iptables服务 # service iptables start 查看防火墙的基本状态 Page */47查看防火墙的基本状态 查询防火墙的状态 使用iptables命令查询防火墙状态 # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination使用iptables命令进行策略设置 Page */47使用iptables命令进行策略设置 iptables命令是对防火墙配置管理的核心命令 iptables命令提供了丰富的功能，可以对Linux内核中的netfilter防火墙进行各种策略的设置 iptables命令的设置在系统中是即时生效的 使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失使用iptables-save命令保存设置 Page */47使用iptables-save命令保存设置 iptables-save命令提供了防火墙配置的保存功能 iptables-save命令缺省只将配置信息显示到 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 输出（屏幕）中 # iptables-save 如果需要将iptables-save命令的输出保存，需要将命令输出结果重定向到指定的文件中 # iptables-save > ipt.v1.0 使用iptables-save命令可以将多个版本的配置保存到不同的文件中使用iptables-restore命令恢复设置 Page */47使用iptables-restore命令恢复设置 iptables-restore命令可恢复防火墙设置 iptables-restore命令可恢复使用iptables-save命令保存的防火墙设置内容 iptables-restore命令从标准输入或输入重定向文件中获取防火墙的设置内容 # iptables-restore < ipt.v1.0 iptables-restore命令可快速恢复指定版本的防火墙配置使用iptables脚本保存防火墙设置 Page */47使用iptables脚本保存防火墙设置 iptables脚本可以保存当前防火墙配置 在保存防火墙当前配置前应先将原有配置进行备份 # cp /etc/sysconfig/iptables iptables.raw iptables脚本的save命令可以保存防火墙配置 # service iptables save 配置内容将保存在“/etc/sysconfig/iptables”文件中，文件原有的内容将被覆盖 使用防火墙的配置工具 Page */47使用防火墙的配置工具 RHEL4中提供了防火墙配置程序 运行防火墙配置工具 # system-config-securitylevel-tui 在防火墙配置工具设置后会即时生效，并将设置保存到“/etc/sysconfig/iptables”文件中 iptables命令的使用6-1Page */47iptables命令的使用6-1iptables命令的操作对象包括 规则表（table）由规则链的集合组成，不同的规则表用于实现不同类型的功能 规则链（chain）由规则的集合组成，保存在规则表中；在规则表中不同的规则链代表了不同的数据包流向 规则（rule）是最基本的设置项，用于对防火墙的策略进行设置；流经某个数据链的数据将按照先后顺序经过规则的“过滤” iptables命令的使用6-2Page */47iptables命令的使用6-2iptables中缺省包括3个规则表 filter nat mangle iptables命令可查看规则表的内容 基本语法 iptables [-t table] -[L] [chain] [options] 不指定表名称时查看filter表的内容 # iptables -L 查看指定的规则表 # iptables -t nat -L iptables命令的使用6-3Page */47iptables命令的使用6-3清空表中的规则 命令 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 ： iptables [-t table] -F [chain] [options] 清空filter表中的所有规则 # iptables -F 清空nat表中的所有规则 # iptables -t nat -F 删除表中的自定义规则链 命令格式： iptables [-t table] -X [chain]iptables命令的使用6-4Page */47iptables命令的使用6-4添加规则 命令格式 iptables [-t table] -A chain rule-specification [options] 在INPUT规则链中添加规则，允许来自“lo”网络接口中所有数据包 # iptables -A INPUT -i lo -j ACCEPT 在INPUT规则链中添加规则，允许“eth0”网络接口中来自“192.168.1.0/24”子网的所有数据包 # iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPTiptables命令的使用6-5Page */47iptables命令的使用6-5删除规则 命令格式 iptables [-t table] -D chain rule-specification [options] 删除规则的iptables命令与添加规则的命令格式类似 删除INPUT规则表中已有的规则 # iptables -D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT iptables命令的使用6-6Page */47iptables命令的使用6-6设置内置规则链的缺省策略 命令格式 iptables [-t table] -P chain target [options] 只有内建规则链才能够设置“缺省策略” 将INPUT规则链的缺省策略设置为“DROP” # iptables -P INPUT DROP 将规则链的缺省策略的缺省策略设置为“DROP”，然后在逐个添加允许通过的规则是比较严谨的规则设置方法 防火墙配置实例2-1Page */47防火墙配置实例2-1设置主机防火墙策略 使用iptables命令设置防火墙策略 # iptables -F # iptables -X # iptables -Z # iptables -P INPUT DROP # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT # service iptables save清除filter规则表中的所有规则清除filter规则表中的自定义规则链清除filter规则表的计数设置filter表中INPUT规则链的缺省策略为DROP在INPUT规则链中添加规则允许来自eth0网络接口的SSH、WWW和SQUID类型的数据包保存当前防火墙设置到文件中在INPUT规则链中添加规则允许来自lo网络接口的所有数据包防火墙配置实例2-2Page */47防火墙配置实例2-2设置Linux作为网关服务器 配置需求 服务器网接口eth0的IP地址为“192.168.1.1/24”，eth0网络接口与公司的内部网络相连 服务器的网络接口ppp0是主机的拨号网络接口，具有公网IP地址 局域网中的所有主机都需要通过Linux网关服务器与外部互联网进行通信 关键配置命令 # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 \ > -o ppp0 -j MASQUERADE “-t nat -A POSTROUTING ”表示在nat表的POSTROUTING规则链中添加规则“-s 192.168.1.0/24”表示数据包的源地址为“192.168.1.0/24”子网 “-o ppp0”表示数据包的流出网络接口是“ppp0”，“ppp0”网络接口具有公网IP地址 “-j MASQUERADE”表示对数据包进行的处理，即将符合条件的数据包进行IP伪装 阶段 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf Page */47阶段总结代理服务器和网络防火墙工作在不同的协议层 在Linux系统中内核提供包过滤防火墙功能，使用squid服务器实现代理服务器功能 netfilter是Linux内核中的包过滤框架，iptables是对netfilter的管理工具 使用iptables可设置Linux系统实现各种常用的网络防火墙功能阶段练习Page */47阶段练习查看Linux系统中iptables软件包中包括的文件，并查询iptables服务的启动状态 使用iptables命令查看filter规则表的设置内容 squid服务器的功能 Page */47squid服务器的功能 squid服务具有以下基本功能 提供对HTTP和FTP协议的代理服务 缓存代理的内容，提高客户端访问网站的速度，并能够节约出口网络流量 对客户端地址进行访问控制，限制允许访问squid服务器的客户机 对目标地址进行访问控制，限制客户端允许访问的网站 根据时间进行访问控制，限定客户端可以使用代理服务的时间 squid服务器的代理工作机制Page */47squid服务器的代理工作机制squid服务器具有代理和缓存的基本功能客户端squid服务器的安装 Page */47squid服务器的安装 squid服务器在RHEL4系统中已经默认安装 # rpm -q squid squid-2.5.STABLE6-3 squid服务的启动状态 squid服务程序在RHEL4中默认不自动启动 需要用chkconfig命令设置squid服务在运行级别3和5中自动启动 # chkconfig --level 35 squid on squid服务启动前的准备Page */47squid服务启动前的准备确认主机具有完整的域名 squid服务运行需要Linux主机具有完整的域名 # grep `hostname` /etc/hosts squid服务器的初始化 在第一次使用squid服务器之前需要先对squid服务器进行初始化工作 # squid -z 初始的主要作用是在squid服务器的工作目录中建立需要的子目录 # ls /var/spool/squid/ 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F squid服务的启动与停止 Page */47squid服务的启动与停止 启动脚本 squid服务的启动脚本名称是“squid” /etc/init.d/squid 启动与停止squid服务 启动squid服务 # service squid start 停止squid服务 # service squid stop 服务端口 squid服务器的缺省服务端口为3128squid服务的配置文件3-1 Page */47squid服务的配置文件3-1 配置目录 squid具有独立的目录保存配置文件 /etc/squid/ 主配置文件 主配置文件squid.conf保存在配置目录中 /etc/squid/squid.conf squid.conf文件中的配置选项 配置服务端口 http_port 3128 squid服务的配置文件3-2Page */47squid服务的配置文件3-2squid.conf文件中的配置选项 缓冲内存数量 cache_mem 8 MB “cache_mem”的值设置为服务器物理内存的三分之一比较合适 工作目录 cache_dir ufs /var/spool/squid 100 16 256 “cache_dir”设置项的缺省值为设置“/var/spool/squid”作为squid的工作路径，“100 16 256”分别表示，目录中最大的容量是100MB，目录中的一级子目录的数量为16个，二级子目录为“256”个 squid服务的配置文件3-3Page */47squid服务的配置文件3-3squid.conf文件中的配置选项 访问控制设置 “http_access”用于设置允许或拒绝访问控制对象 http_access allow localhost http_access deny all 访问控制列表（ACL）的定义 “acl”配置项用于设置访问控制列表的内容 acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 重新启动squid服务 对squid.conf文件修改后需要重新启动服务程序 # service squid restart 配置透明代理服务器 Page */47配置透明代理服务器 配置squid服务器 修改squid.conf配置文件中的设置 # vi /etc/squid/squid.conf //在配置文件中添加以下的配置行 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on 重新启动squid服务器 # service squid reload 设置防火墙策略 # iptables -t nat -A PREROUTING -s 192.168.1.0/24 \ > -p tcp --dport 80 -j REDIRECT --to-ports 3128 “-t nat -A PREROUTING ”表示在nat表的PREROUTING规则链中添加规则“-s 192.168.1.0/24”表示数据包的源地址为“192.168.1.0/24”子网 “-p tcp”表示数据包的协议为“tcp”，“--dport 80”表示数据包访问的目的端口为“80”，即标准的WWW服务 “-j REDIRECT”表示将符合条件的数据包进行重定向，“--to-ports 3128”表示将数据包重定向到“3128”端口，“3128”端口是squid服务器提供网页代理服务的端口 网页浏览器的代理设置 Page */47网页浏览器的代理设置 透明代理 如果网关配置为透明代理将不需要在网络浏览器中进行任何的代理设置 使用代理服务器 直接使用squid代理服务器需要在浏览器中进行代理服务器的信息设置阶段总结Page */47阶段总结squid是著名的代理服务器软件，可实现HTTP和FTP协议的代理功能 squid服务器的基本功能包括代理服务和内容缓存服务 squid服务器的主配置文件“squid.conf”保存在“/etc/squid”目录中 squid提供代理服务的缺省端口是“3128” squid服务器可以对代理的内容和客户端进行一定的访问控制 网页浏览器使用代理服务器时需要进行设置阶段练习Page */47阶段练习查看squid.conf配置文件中的缺省配置内容 启动squid服务程序，并查看该服务所使用的网络端口 本章总结Page */47本章总结应用层代理网络层防火墙iptables基本原理iptables的基本配置管理 防火墙配置实例squid服务器的基本功能squid服务器的配置管理 网页浏览器的代理设置实验Page */47实验任务1：防火墙配置管理 任务2：squid代理服务器配置管理 任务1Page */47任务1注意事项 提示1：使用iptables命令进行防火墙的策略配置时应在Linux主机的控制台完成，如果使用SSH登录进行配置有可能造成由于策略的设置造成SSH连接中断 提示2：在使用iptables脚本保存策略配置前需要先将现有策略进行备份，以便出现错误后进行恢复 任务2Page */47任务2注意事项 提示1：在启动squid服务程序之前需要先确认Linux主机具有完整的域名，如果没有可以在hosts文件中进行设置 提示2：squid服务器第一次启动前的初始化工作可以使用“squid -z ”命令手工完成，如不手工进行，squid启动脚本也会自动完成初始化工作