项目11 配置防火墙与代理服务器

Linux网络服务器配置管理项目实训教程杨云马立新杨建新编著中国水利水电出版社项目11配置防火墙与代理服务器主讲教师XXXX中国水利水电出版社Linux网络服务器配置管理项目实训教程3课题引入：防火墙与代理服务器防火墙是一种非常重要的网络安全工具，利用防火墙可以保护企业内部网络免受外网的威胁，作为网络管理员，掌握防火墙的安装与配置非常重要。本章重点介绍Iptables和SQUID两类防火墙的配置。中国水利水电出版社Linux网络服务器配置管理项目实训教程4防火墙与代理服务器防火墙的分类防火墙的工作原理IptablesNATSQUID代理服务器中国水利水电出版社Linux网络服务器配置管理项目实训教程5掌握防火墙的分类及工作原理掌握Iptables防火墙和SQUID代理服务器的配置掌握NAT及透明代理的实现方法Iptables防火墙的配置NAT的实现方法透明代理的实现方法学习目标本章难点中国水利水电出版社Linux网络服务器配置管理项目实训教程6防火墙的分类包过滤型防火墙代理服务器型防火墙中国水利水电出版社Linux网络服务器配置管理项目实训教程7防火墙的分类•防火墙技术用于实现内外网之间访问的安全性。•防火墙的两种主要类型：包过滤型防火墙代理服务器（应用防火墙）中国水利水电出版社Linux网络服务器配置管理项目实训教程8包过滤型防火墙包过滤型防火墙内置于Linux系统的内核，在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所有的协议、端口号等因素，来决定是否允许该数据包通过。如图所示是包过滤型防火墙常用的一种模式，主要用来阻隔来自外网对内部网络的威胁。包过滤型防火墙有两种基本的默认访问控制策略：•一种是先禁止所有的数据包通过，然后再根据需要允许满足匹配规则的数据包通过。•一种是先允许所有的数据包通过，再根据需要拒绝满足匹配规则的数据包通过。中国水利水电出版社Linux网络服务器配置管理项目实训教程9代理服务器型防火墙代理服务器型防火墙是应用网关型防火墙，通常工作在应用层。代理服务器实际上是运行在防火墙上的一种服务器程序。服务器监听客户机的请求，如申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时，客户端首先连接代理服务器，然后再由代理服务器与外网真实的服务器建立连接，取得客户想要的信息，代理服务器再把信息返回给客户。中国水利水电出版社Linux网络服务器配置管理项目实训教程10防火墙的工作原理包过滤型防火墙工作原理代理服务器型防火墙工作原理中国水利水电出版社Linux网络服务器配置管理项目实训教程11包过滤型防火墙工作原理包过滤型防火墙的工作过程：（1）数据包从外网传送给防火墙后，防火墙在IP层向TCP层传输数据前，将数据包转发给包检查模块进行处理。（2）首先与第一条过滤规则进行比较。（3）如果与第一条规则匹配，则进行审核，判断是否允许传输该数据包，如果允许则传输，否则查看该规则是否阻止该数据包通过，如果阻止则将该数据包丢弃。（4）如果与第一条过滤规则不同，则查看是否还有下一条规则。如果有，则与下一条规则匹配，如果匹配成功，则进行与（3）相同的审核过程。（5）依此类推，一条一条规则匹配，直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配，则采用防火墙的默认访问控制策略策略（丢掉该数据包，或允许该数据包通过）。中国水利水电出版社Linux网络服务器配置管理项目实训教程12包过滤型防火墙工作原理包过滤型防火墙原理图包过滤规则检查内容：•源、目标IP地址•TCP和UDP的源、目的端口号•协议类型•ICMP消息类型•TCP报头中的ACK位、序列号、确认号•IP校验和中国水利水电出版社Linux网络服务器配置管理项目实训教程13代理服务器型防火墙工作原理代理服务器型防火墙是应用层防火墙，它能提供部分与传输有关的状态，能提供与应用相关的状态和部分传输的信息，工作原理如右图所示。代理服务器型防火墙原理图中国水利水电出版社Linux网络服务器配置管理项目实训教程14代理服务器型防火墙工作原理代理服务器型防火墙的工作过程：（1）主机A向代理服务器发送一个访问因特网的请求。（2）代理服务器将检测ACL（访问列表）中的设置。（3）如果主机A所需要的信息已经存在，代理服务器将直接将其发送给主机A。否则，服务器将代替主机A访问因特网。（4）因特网将主机A所需要的信息发送给代理服务器，这些信息将被保存在缓存中。（5）代理服务器将这些信息发送给主机A。（6）主机B向代理服务器发送一个访问同样信息的请求。（7）代理服务器将检测ACL（访问列表）中的设置。（8）服务器直接将已保存的信息发送给主机B。中国水利水电出版社Linux网络服务器配置管理项目实训教程15防火墙的工作原理Netfilter/iptables架构iptables传输数据包的过程iptables命令iptables命令使用举例中国水利水电出版社Linux网络服务器配置管理项目实训教程16Netfilter/iptables架构从1.1内核开始，Linux下的包过滤系统经历了3个阶段：在2.0内核中，采用ipfwadm来操作内核包过滤规则。在2.2内核中，采用ipchains来控制内核包过滤规则。在2.4内核中，采用了一个全新的内核包过滤管理工具――iptables。Netfilter/iptables最早是与2.4内核版本的Linux系统集成的IP信息包过滤系统。它由Netfilter和iptables两个组件组成。中国水利水电出版社Linux网络服务器配置管理项目实训教程17Netfilter/iptables架构Netfilter组件称为内核空间，它集成在Linux的内核中。主要由信息包过滤表（tables）组成，而表由若干个链组成，每条链中可以由一条或者多条规则组成。总的来说，Netfilter是表的容器，表是链的容器，而链又是规则的容器。中国水利水电出版社Linux网络服务器配置管理项目实训教程18Netfilter/iptables架构（1）规则。规则存储在内核的包过滤表中，分别指定了源、目的IP地址、传输协议、服务类型等。当数据包与规则匹配时，就根据规则所定义的方法来处理数据包，如放行、丢弃等动作。（2）链。链是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当数据包到达一条链时，会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件，如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则将继续检查下一条规则。如果该数据包不符合链中任一条规则，会根据该链预先定义的默认策略处理数据包。中国水利水电出版社Linux网络服务器配置管理项目实训教程19Netfilter/iptables架构（3）表。Netfilter中内置有3张表：filter表，nat表和mangle表。其中filter表用于实现数据包的过滤、nat表用于网络地址转换、mangle表用于包的重构。filter表是iptables默认的表，主要用于数据包的过滤。filter表包含了INPUT链（处理进入的数据包）、FORWARD链（处理转发的数据包）和OUTPUT链（处理本地生成的数据包）。nat表主要用于网络地址转换。nat表包含了PREROUTIN链（修改即将到来的数据包）、OUTPUT链（修改在路由之前本地生成的数据包）和POSTROUTING链（修改即将出去的数据包）。mangle表主要用于对指定的包进行修改。在Linux2.4.18内核之前，mangle表仅包含PREROUTING链和OUTPUT链。在Linux2.4.18内核之后，包括PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五个链。中国水利水电出版社Linux网络服务器配置管理项目实训教程20iptables传输数据包过程iptables传输数据包的过程如下图所示。中国水利水电出版社Linux网络服务器配置管理项目实训教程21iptables传输数据包过程打开Linux的路由转发功能：（1）修改内核变量ip_forward（2）修改/etc/sysctl.conf文件使“net.ipv4.ip_forward”的值设置为1。中国水利水电出版社Linux网络服务器配置管理项目实训教程22iptables命令iptables命令格式为：iptables[-t表名]-命令[链名]匹配条件目标动作Iptables表的常用命令：中国水利水电出版社Linux网络服务器配置管理项目实训教程23iptables命令Iptables命令中的常用匹配规则：中国水利水电出版社Linux网络服务器配置管理项目实训教程24iptables命令Iptables命令中的常用目标动作选项：中国水利水电出版社Linux网络服务器配置管理项目实训教程25iptables命令制定永久性规则集：保存规则集：恢复规则集：中国水利水电出版社Linux网络服务器配置管理项目实训教程26iptables命令举例【例1】清除所有链中的规则。中国水利水电出版社Linux网络服务器配置管理项目实训教程27iptables命令举例【例2】设置filter表中3个链的默认策略为拒绝。【例3】查看所有链的规则列表。中国水利水电出版社Linux网络服务器配置管理项目实训教程28iptables命令举例【例4】添加一个用户自定义的链custom。中国水利水电出版社Linux网络服务器配置管理项目实训教程29iptables命令举例【例5】向filter表的INPUT链的最后添加一条规则，对来自192.168.1.1这台主机的数据包丢弃。中国水利水电出版社Linux网络服务器配置管理项目实训教程30iptables命令举例【例6】向filter表中的INPUT链的第3条规则前面插入一条规则，允许来自于非192.168.3.0/24网段的主机对本机的25端口的访问。中国水利水电出版社Linux网络服务器配置管理项目实训教程31iptables命令举例【例7】向filter表的INPUT链中添加一条规则，拒绝外界主机访问本机tcp协议的100至1024端口。中国水利水电出版社Linux网络服务器配置管理项目实训教程32iptables命令举例【例8】向filter表的INPUT链中添加一条规则，拒绝来自其他主机的ping请求。中国水利水电出版社Linux网络服务器配置管理项目实训教程33iptables命令举例【例9】假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网，IP地址为222.206.160.100；eth1接口连接内网，IP地址为192.168.1.1。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此3台服务器。中国水利水电出版社Linux网络服务器配置管理项目实训教程34例9的解决方案//1.清空所有的链规则[root@RHEL4~]#iptables-F//2.禁止iptables防火墙转发任何数据包[root@RHEL4~]#iptables-PFORWARDDROP//3.建立来自Internet网络的数据包的过滤规则#iptables-AFORWARD–ptcp–d222.206.100.2–ptcp--dport80-ieth0-jACCEPT#iptables-AFORWARD–ptcp–d222.206.100.3-ptcp--dport53-ieth0-jACCEPT#iptables-AFORWARD–ptcp–d222.206.100.4-ptcp--dport25-ieth0-jACCEPT#iptables-AFORWARD–ptcp–d222.206.100.4-ptcp