LINUX网络服务管理代理服务器与防火墙

Chapter1第6章内容回顾•SMTP、POP3和IMAP是邮件系统中使用的网络协议，可实现邮件的发送和收取•Sendmail是RHEL4系统中缺省安装使用的邮件服务器•dovecot服务器可提供pop3和imap4服务•通过OpenWebmail提供的界面用户可以使用浏览器管理邮箱和收发邮件•使用Sendmail、dovecot和OpenWebmail可以构建完整的邮件应用系统Chapter2代理服务器与防火墙第7章Chapter3本章目标•了解防火墙和代理服务器的基本概念•掌握Linux系统中的防火墙管理•掌握squid代理服务器管理•麦新衣时尚女装商城淘宝网首页女装Chapter4本章结构代理服务器与防火墙基本概念iptables应用层代理网络层防火墙iptables基本原理iptables的基本配置管理防火墙配置实例squid服务器的基本功能squid服务器的配置管理缓存代理squid网页浏览器的代理设置Chapter5应用层代理•应用层代理的基本概念–应用层代理针对特定的网络协议提供代理服务–HTTP代理和FTP代理是应用层代理的典型应用•使用代理服务器可以解决的问题–局域网中的所有主机都可以通过同局域网中具有互联网访问能力的代理服务器主机进行外部网络的访问–代理服务器对已经访问过的内容提供缓存，可有效的减少对外部网络的访问流量，并能够提高频繁访问的页面的访问效率–通过代理服务器可以进行一定程度的访问控制，可以对客户端和被访问页面进行控制Chapter6代理服务的应用原理•代理服务器工作在TCP/IP的应用层链路层网络层传输层应用代理上层程序链路层网络层传输层应用层客户程序链路层网络层传输层应用层服务程序受保护客户端代理服务器外部网络Chapter7网络层防火墙•网络防火墙软件的主要功能–对进入和流出的IP数据包进行过滤，屏蔽不符合要求的数据包，保证内部网络的安全–提供数据包的路由选择，实现网络地址转换（NAT），从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求•防火墙的类型–硬件防火墙是功能专一的硬件设备，价格昂贵–软件防火墙的功能是由计算机中的软件实现的，具有相当大的价格优势Chapter8网络层防火墙的应用原理•网络防火墙工作在TCP/IP的网络层链路层网络层传输层应用代理上层程序链路层网络层传输层应用层客户程序链路层网络层传输层应用层服务程序外部网络网络层防火墙受保护网络Chapter9Linux中代理服务和防火墙的实现•Linux中使用软件实现代理和防火墙功能–使用netfilter/iptables架构实现网络防火墙的基本功能–使用squid服务器软件实现HTTP服务的代理功能•麦新衣时尚女装商城淘宝网首页女装Chapter10Linux防火墙软件的发展与实现•Linux中的防火强功能是由内核实现的–在2.0内核中，网络防火墙的操作工具名称是ipfwadm–在2.2内核中，网络防火墙的操作工具名称是ipchains–在2.4之后的内核中，网络防火墙的操作工具名称是iptables•netfilter与iptables–在Linux的内核中使用netfilter架构实现防火墙功能–iptables是Linux系统中为用户提供的netfilter管理工具，用于实现对Linux内核中网络防火墙的管理Chapter11iptables规则链•iptables缺省具有5条规则链PREROUTINGFORWARDPOSTROUTINGINPUTOUTPUT上层应用程序(接收或发送网络数据)Chapter12iptables规则表•iptables缺省具有3个规则表–Filter：用于设置包过滤–NAT：用于设置地址转换–Mangle：用于设置网络流量整形等应用•不同的规则表由不同的规则链组成–Filter：INPUT、FORWARD、OUTPUT–NAT：PREROUTING、POSTROUTING、OUTPUT–Mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARDChapter13netfilter/iptables的典型应用•netfilter/iptables的典型应用–作为主机防火墙实现外部网络与主机之间的访问控制–作为网络防火墙提供外部网络与内部网络的访问控制–作为网关服务器实现网络地址转换（NAT）功能，实现内部网络通过网关主机共享访问外部网络•netfilter/iptables可以在Linux系统中实现网络防火墙的各种常用功能Chapter14iptables的软件包组成•RHEL4中的iptables软件包#rpm-qiptablesiptables-1.2.11-3.1.RHEL4•iptables软件包中的管理命令–iptables是主要的管理命令，对网络防火墙功能的管理都是通过iptables命令实现的–iptables-save命令可以将当前系统中的防火墙设置进行保存–iptables-restore命令可以将使用iptables-save命令保存的防火墙策略配置恢复到当前系统中Chapter15iptables服务的启动与停止•iptables服务启动脚本/etc/rc.d/init.d/iptables•iptables配置文件与策略设置文件–iptables配置文件/etc/sysconfig/iptables-config–策略设置文件/etc/sysconfig/iptables•iptables服务的启动与停止–iptables服务缺省自动启动–可通过启动脚本手工启动和停止iptables服务#serviceiptablesstartChapter16查看防火墙的基本状态•查询防火墙的状态–使用iptables命令查询防火墙状态#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationChapter17使用iptables命令进行策略设置•iptables命令是对防火墙配置管理的核心命令–iptables命令提供了丰富的功能，可以对Linux内核中的netfilter防火墙进行各种策略的设置–iptables命令的设置在系统中是即时生效的–使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失•麦新衣时尚女装商城淘宝网首页女装–SEEBA名品导购网使用iptables-save命令保存设置•iptables-save命令提供了防火墙配置的保存功能–iptables-save命令缺省只将配置信息显示到标准输出（屏幕）中#iptables-save–如果需要将iptables-save命令的输出保存，需要将命令输出结果重定向到指定的文件中#iptables-saveipt.v1.0–使用iptables-save命令可以将多个版本的配置保存到不同的文件中Chapter19使用iptables-restore命令恢复设置•iptables-restore命令可恢复防火墙设置–iptables-restore命令可恢复使用iptables-save命令保存的防火墙设置内容–iptables-restore命令从标准输入或输入重定向文件中获取防火墙的设置内容#iptables-restoreipt.v1.0–iptables-restore命令可快速恢复指定版本的防火墙配置Chapter20使用iptables脚本保存防火墙设置•iptables脚本可以保存当前防火墙配置–在保存防火墙当前配置前应先将原有配置进行备份#cp/etc/sysconfig/iptablesiptables.raw–iptables脚本的save命令可以保存防火墙配置#serviceiptablessave–配置内容将保存在“/etc/sysconfig/iptables”文件中，文件原有的内容将被覆盖Chapter21使用防火墙的配置工具•RHEL4中提供了防火墙配置程序–运行防火墙配置工具#system-config-securitylevel-tui–在防火墙配置工具设置后会即时生效，并将设置保存到“/etc/sysconfig/iptables”文件中Chapter22iptables命令的使用6-1•iptables命令的操作对象包括–规则表（table）由规则链的集合组成，不同的规则表用于实现不同类型的功能–规则链（chain）由规则的集合组成，保存在规则表中；在规则表中不同的规则链代表了不同的数据包流向–规则（rule）是最基本的设置项，用于对防火墙的策略进行设置；流经某个数据链的数据将按照先后顺序经过规则的“过滤”Chapter23iptables命令的使用6-2•iptables中缺省包括3个规则表–filter–nat–mangle•iptables命令可查看规则表的内容–基本语法iptables[-ttable]-[L][chain][options]–不指定表名称时查看filter表的内容#iptables-L–查看指定的规则表#iptables-tnat-LChapter24iptables命令的使用6-3•清空表中的规则–命令格式：iptables[-ttable]-F[chain][options]–清空filter表中的所有规则#iptables-F–清空nat表中的所有规则#iptables-tnat-F•删除表中的自定义规则链–命令格式：iptables[-ttable]-X[chain]Chapter25iptables命令的使用6-4•添加规则–命令格式iptables[-ttable]-Achainrule-specification[options]–在INPUT规则链中添加规则，允许来自“lo”网络接口中所有数据包#iptables-AINPUT-ilo-jACCEPT–在INPUT规则链中添加规则，允许“eth0”网络接口中来自“192.168.1.0/24”子网的所有数据包#iptables-AINPUT-ieth0-s192.168.1.0/24-jACCEPTChapter26iptables命令的使用6-5•删除规则–命令格式iptables[-ttable]-Dchainrule-specification[options]–删除规则的iptables命令与添加规则的命令格式类似–删除INPUT规则表中已有的规则#iptables-DINPUT-ieth0-s192.168.1.0/24-jACCEPTChapter27iptables命令的使用6-6•设置内置规则链的缺省策略–命令格式iptables[-ttable]-Pchaintarget[options]–只有内建规则链才能够设置“缺省策略”–将INPUT规则链的缺省策略设置为“DROP”#iptables-PINPUTDROP–将规则链的缺省策略的缺省策略设置为“DROP”，然后在逐个添加允许通过的规则是比较严谨的规则设置方法Chapter28防火墙配置实例2-1•设置主机防火墙策略–使用iptables命令设置防火墙策略#iptables-F#iptables-X#iptables-Z#iptables-PINPUTDROP#iptables-AINPUT-ilo-jACCEPT#iptables-AINPUT-ieth0-ptcp--dport22-jACCEPT#iptables-AINP