第十章防火墙服务器搭建与应用

第10章防火墙服务器搭建与应用一、教学目标与要求。1.网络建立初期，人们只考虑如何实现通信而忽略了网络安全。而防火墙可以使企业内部局域网与internet之间或者与其他外部网络互相隔离，限制网络互访来保护内部网络。2.随着信息技术的飞速发展，信息网络已成为社会发展的重要保证，给政府结构、企事业单位的信息交流与共享带来了革命性的发展。通过信息网络可以实现信息的储存、传输和处理，大大提高了效率。但同时又要面对信息网络开放带来的数据安全的新挑战和新危机，其中有很多敏感信息，甚至是国家机密，难免会吸引来自世界各地不怀好意的人对它进行攻击。因此，引进了防火墙技术。本章将详细介绍防火墙的基本概念、Linux下的iptables及防火墙的设置。通过本章的学习，读者应该掌握以下内容：了解防火墙的作用；了解iptables；掌握设置防火墙。二、教学重点与难点。在不同的环境下能设置不同的防火墙10.1防火墙概述10.1.1防火墙简介（1）双向流通信息必须经过它（2）只有符合安全策略授权的信息流才会被允许通过（3）系统本身具有很高的抗攻击性能防火墙可以实现的功能如下：（1）提供网络安全的屏障：（2）强化网络安全策略：（3）监控审计网络的存取和访问：（4）防止内部信息的外泄：10.1防火墙概述10.1.2防火墙的分类1．包过滤防火墙2．应用网关防火墙3．代理服务器防火墙10.2iptables介绍10.1.2防火墙的分类1．包过滤防火墙2．应用网关防火墙3．代理服务器防火墙10.2.1netfilter/iptables组件1．netfilter2．Iptables10.2.2iptables组成结构1．表（table）（1）filter（2）nat2．规则和链1）规则2）链10.2iptables介绍10.2.3Iptable工作流程10.2.4NAT工作原理10.3安装iptables10.3.1iptables的安装10.3.2iptables的启动与停止1．iptables服务的启动2．iptables服务的停止3．iptables服务的重新启动10.3安装iptables1.4．自动加载iptables服务2.[root@zhou~]#chkconfig–level3iptableson#运行级别3自动加载3.[root@zhou~]#chkconfig–level3iptablesoff#运行级别3自动不加载4.也可以使用ntsysv命令，利用文本图形对iptables自动加载进行配置，如图所示。10.4iptables命令10.4.1iptables基本语法iptables[-t表]-命令-匹配-j动作/目标1．表选项2．命令选项10.4iptables命令【例10.1】-P或--policy作用：定义默认的策略，所有不符合规则的包都被强制使用这个策略。Iptables–tfilter–PINPUTDROP说明：只有内建的链才可以使用规则。【例10.2】-A或--append作用：在所选择的链的最后添加一条规则。Iptables–AOUTPUT--sport22DROP【例10.3】-D或—delete作用：从所选链中删除规则。Iptables–DOUTPUT10.4iptables命令3．匹配选项10.4iptables命令【例10.4】-p或—protocol作用：匹配指定的协议。Iptables–AINPUT–pudp–jDROP【例10.5】-sport或—source-port作用：基于TCP包的源端口来匹配，也就是说通过检测数据包的源端口是不是指定的来判断数据包的去留。iptables–AINPUT–sport80jACCEPT【例10.6】-s或—src或-source作用：以IP地址匹配包。iptables–AINPUT–s1.1.1.1–jDROP10.4iptables命令4．动作选项（1）ACCEPT（2）DROP（3）REJECT（4）SNAT（5）DNAT（6）LOG（7）MASQUERADE10.5防火墙的配置10.5.1设置默认策略定义默认策略的格式如下：Iptables[-t表名]–P链名动作【例10.7】将filter表中INPUT链的默认策略定义为DROP（丢弃数据包）[root@zhou~]#iptables–PINPUT–jDROP【例10.8】将nat表中OUTPUT链的默认策略定义为ACCEPT（接受数据包）[root@zhou~]#iptables–tnat–POUTPUT–jACCEPT10.5防火墙的配置10.5.2查看iptables规则iptables[-t表名]–L链名【例10.9】查看nat表中所有链的规则。【例10.10】查看filter表中FORWARD链的规则。10.5.3添加、删除、修改规则10.5防火墙的配置【例10.11】为filter表的INPUT链添加一条规则，规则为拒绝所有使用ICMP协议的数据包。查看规则列表【例10.12】为filter表的INPUT链添加一条规则，规则为允许访问TCP协议的80端口的数据包通过。并查看：10.5防火墙的配置【例10.13】在filter表中INPUT链的第2条规则前插入一条新规则，规则为不允许访问TCP协议的53端口的数据包通过。【例10.14】在filter表中INPUT链的第1条规则前插入一条新规则，规则为允许访问IP地址172.16.0.0/16网段的数据包通过。10.5防火墙的配置【例10.15】删除filter表中INPUT链的第2条规则【例10.16】清除filter表中INPUT链的所有规则。10.5.4保存规则与恢复iptables-save用来保存规则，它的用法比较简单，格式如iptables-save[-c][-t表名]10.5防火墙的配置10.5防火墙的配置10.5.5禁止客户机访问不健康网站【例10.17】禁止所有学生访问IP地址为192.1.2.3的网站。【例10.18】禁止所有学生访问域名为网站。[root@zhou~]#iptables–AFORWARD–d–jDROP10.5.6禁止客户机使用QQ10.5防火墙的配置1.【例10.17】禁止上QQ2.[root@zhou~]#iptables–IFORWARD–ptcp--dport8000–jDROP3.[root@zhou~]#iptables–IFORWARD–pudp--dport8000–jDROP4.[root@zhou~]#iptables–IFORWARD–dtcpconn.tencent.com–jDROP5.[root@zhou~]#iptables–IFORWARD–dtcpconn2.tencent.com–jDROP6.[root@zhou~]#iptables–IFORWARD–dtcpconn3.tencent.com–jDROP7.[root@zhou~]#iptables–IFORWARD–dtcpconn4.tencent.com–jDROP8.[root@zhou~]#iptables–IFORWARD–dhttp.tencent.com–jDROP9.[root@zhou~]#iptables–IFORWARD–dhttp2.tencent.com–jDROP10.6NAT（网络地址转换）10.6.1iptables实现NATIptables防火墙利用nat表，能够实现NAT功能，将内网地址与外网地址进行转换，完成内、外网的通信。nat表支持以下3种操作。1．SNAT2．DNAT：3．MASQUERADE：MASQUERADE的作用与SNAT完全一样10.6.2配置SNAT格式如下：iptables-tnat–APOSTROUTING–o网络接口–jSNAT--to-sourceIP地址10.6NAT（网络地址转换）（1）指定单独的地址。如：202.3.2.1。（2）一段连续地十范围。如：202.3.2.1-202.3.2.11，这样会为数据包随机分配一个IP，实现负载均衡。（3）端口范围【例10.19】学院内部主机使用10.0.0.0/8网段的IP地址，并且使用Linux主机作为服务器连接互联网，外网的地址为固定地地址192.1610.1.3，现在需要修改相关设置保证内网用户能够正常访问Internet，如图10.6NAT（网络地址转换）(1）开启内核路由转发功能。（2）添加SNAT规则设置iptables规则，将数据包的源地址改为公网地址10.6NAT（网络地址转换）10.6.3配置DNATiptables-tnat–APREROUTING–i网络接口–p协议–dport端口–jDNAT--to-destinationIP地址DNAT主机能够完成以下几个功能1．发布内网服务器10.6NAT（网络地址转换）【例10.19】学院建立了一台Web服务器，其IP地址为192.1610.1.3，防火墙外部IP的地址为202.200.200.10，现需要调整防火墙设置，保证外网用户能够正常访问该服务器。使用DNAT将发送至202.200.200.10，并且端口为80的数据包转发至192.1610.1.3，如下所示：10.6NAT（网络地址转换）2．实现负载均衡【例10.20】学院共有2台数据相同的Web服务器，IP地址分别为10.0.0.10、10.0.0.11，防火墙外部地址为202.200.200.10，为了提高页面的响应速度，需要对Web服务进行优化。10.6.4MASQUERADE假设，公司内部网络有200台计算机，网段为192.1610.1.0/24，并配有一台拨号主机，使用接口ppp0接入Internet，所有客户端通过该主机访问互联网。这时，需要在拨号主机进行设置，将192.1610.1.0/24的内部地址，转换为ppp0的公网地址，如下所示。10.7实战与应用10.7.1公司环境及需求1．公司环境200台客户机，IP地址范围为192.1610.1.1-192.1610.1.254，掩码为255.255.255.255.0。Mail服务器：IP为192.1610.1.254，掩码为255.255.255.0Ftp服务器：IP为192.1610.1.253，掩码为255.255.255.0Web服务器：IP为192.1610.1.252，掩码为255.255.255.0公司网络拓扑图如图10.7所示。10.7实战与应用1.10.7.2需求分析公司的内部网络为了保证安全性，首先要删除所有规则设置，并将默认规则设置为DROP，然后开启防火墙对于客户机的访问限制，打开Web、Msn、QQ以及mail的相应端口，并允许外部客户端登录Web服务器的80、22端口。10.7.3解决方案1.1．配置默认策略2.（1）删除策略10.7实战与应用（2）设置默认策略1.[root@zhou~]#iptables–PINPUTDROP2.[root@zhou~]#iptables–PFORWARDDROP3.[root@zhou~]#iptables–POUTPUTACCEPT4.[root@zhou~]#iptables–tnat–PPREROUTINGACCEPT5.[root@zhou~]#iptables–tnat–POUTPUTACCEPT6.[root@zhou~]#iptables–tnat–PPOSTROUTINGACCEPT10.7实战与应用2．回环地址[root@zhou~]#iptables–AINPUT–ilo–jACCEPT3．连接状态设置[root@zhou~]#iptables–AINPUT–mstate--stateESTABLISHED,RELATED–jACCEPT4．设置80端口转发[root@zhou~]#iptables–AFORWARD–ptcp--dport80–jACCEPT5．DNS相关设置[root@zhou~