【正文】 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 楊云 馬立新 楊建新 編著 中國水利水電出版社 項目 11 配置防火墻與代理服務(wù)器 主講教師 XXXX 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 3 課題引入：防火墻與代理服務(wù)器 防火墻是一種非常重要的網(wǎng)絡(luò)安全工具，利用防火墻可以保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的威脅，作為網(wǎng)絡(luò)管理員，掌握防火墻的安裝與配置非常重要。本章重點介紹 Iptables和 SQUID兩類防火墻的配置。 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 4 防火墻與代理服務(wù)器 ?防火墻的分類 ?防火墻的工作原理 ?Iptables ?NAT ?SQUID代理服務(wù)器 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 5 ?掌握防火墻的分類及工作原理 ?掌握 Iptables防火墻和 SQUID代理服務(wù)器的配置 ?掌握 NAT及透明代理的實現(xiàn)方法 ? Iptables防火墻的配置 ? NAT的實現(xiàn)方法 ?透明代理的實現(xiàn)方法 學(xué)習(xí)目標(biāo) 本章難點 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 6 防火墻的分類 ?包過濾型防火墻 ?代理服務(wù)器型防火墻 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 7 防火墻的分類 ? 防火墻技術(shù)用于實現(xiàn)內(nèi)外網(wǎng)之間訪問的安全性。 ? 防火墻的兩種主要類型： 包過濾型防火墻 代理服務(wù)器（應(yīng)用防火墻） 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 8 包過濾型防火墻 包過濾型防火墻 內(nèi)置于 Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層或傳輸層對經(jīng)過的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（ ACL）。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號等因素，來決定是否允許該數(shù)據(jù)包通過。如圖所示是包過濾型防火墻常用的一種模式，主要用來阻隔來自外網(wǎng)對內(nèi)部網(wǎng)絡(luò)的威脅。 包過濾型防火墻有兩種基本的默認(rèn)訪問控制策略： ?一種是先禁止所有的數(shù)據(jù)包通過，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過。 ?一種是先允許所有的數(shù)據(jù)包通過，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過。 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 9 代理服務(wù)器型防火墻 代理服務(wù)器型防火墻 是應(yīng)用網(wǎng)關(guān)型防火墻，通常工作在應(yīng)用層。代理服務(wù)器實際上是運行在防火墻上的一種服務(wù)器程序。服務(wù)器監(jiān)聽客戶機的請求，如申請瀏覽網(wǎng)頁等。當(dāng)內(nèi)網(wǎng)的客戶機請求與外網(wǎng)的真實服務(wù)器連接時，客戶端首先連接代理服務(wù)器，然后再由代理服務(wù)器與外網(wǎng)真實的服務(wù)器建立連接，取得客戶想要的信息，代理服務(wù)器再把信息返回給客戶。 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 10 防火墻的工作原理 ?包過濾型防火墻工作原理 ?代理服務(wù)器型防火墻工作原理 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 11 包過濾型防火墻工作原理 包過濾型防火墻的工作過程： （ 1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在 IP層向 TCP層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。 （ 2）首先與第一條過濾規(guī)則進(jìn)行比較。 （ 3）如果與第一條規(guī)則匹配，則進(jìn)行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過，如果阻止則將該數(shù)據(jù)包丟棄。 （ 4）如果與第一條過濾規(guī)則不同，則查看是否還有下一條規(guī)則。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進(jìn)行與（ 3）相同的審核過程。 （ 5）依此類推，一條一條規(guī)則匹配，直到最后一條過濾規(guī)則。如果該數(shù)據(jù)包與所有的過濾規(guī)則均不匹配，則采用防火墻的默認(rèn)訪問控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過）。 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 12 包過濾型防火墻工作原理 包過濾型防火墻原理圖 包過濾規(guī)則檢查內(nèi)容： ?源、目標(biāo) IP地址 ?TCP和 UDP的源、目的端口號 ?協(xié)議類型 ?ICMP消息類型 ?TCP報頭中的 ACK位、序列號、確認(rèn)號 ?IP校驗和 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 13 代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻是應(yīng)用層防火墻，它能提供部分與傳輸有關(guān)的狀態(tài)，能提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸?shù)男畔?，工作原理如右圖所示。 代理服務(wù)器型防火墻原理圖 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 14 代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻的工作過程： （ 1）主機 A向代理服務(wù)器發(fā)送一個訪問因特網(wǎng)的請求。 （ 2）代理服務(wù)器將檢測 ACL（訪問列表）中的設(shè)置。 （ 3）如果主機 A所需要的信息已經(jīng)存在，代理服務(wù)器將直接將其發(fā)送給主機 A。否則，服務(wù)器將代替主機 A訪問因特網(wǎng)。 （ 4）因特網(wǎng)將主機 A所需要的信息發(fā)送給代理服務(wù)器，這些信息將被保存在緩存中。 （ 5）代理服務(wù)器將這些信息發(fā)送給主機 A。 （ 6）主機 B向代理服務(wù)器發(fā)送一個訪問同樣信息的請求。 （ 7）代理服務(wù)器將檢測 ACL（訪問列表）中的設(shè)置。 （ 8）服務(wù)器直接將已保存的信息發(fā)送給主機 B。 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 15 防火墻的工作原理 ?Netfilter/iptables架構(gòu) ?iptables傳輸數(shù)據(jù)包的過程 ?iptables命令 ?iptables命令使用舉例 中國水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程 16 Netfilter/iptables架構(gòu) 從 ， Linux下的包過濾系統(tǒng)經(jīng)歷了 3個階段： 在 ，采用 ipfwadm來操作內(nèi)核包過濾規(guī)則。 在 ，采用 ipchains來控制內(nèi)核包過濾規(guī)則。 在 ，采用了一個全新的內(nèi)核包過濾管理工具――iptables 。 Netfilter/ipt