【正文】 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 楊云 馬立新 楊建新 編著 中國(guó)水利水電出版社 項(xiàng)目 11 配置防火墻與代理服務(wù)器 主講教師 XXXX 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 3 課題引入：防火墻與代理服務(wù)器 防火墻是一種非常重要的網(wǎng)絡(luò)安全工具，利用防火墻可以保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的威脅，作為網(wǎng)絡(luò)管理員，掌握防火墻的安裝與配置非常重要。本章重點(diǎn)介紹 Iptables和 SQUID兩類(lèi)防火墻的配置。 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 4 防火墻與代理服務(wù)器 ?防火墻的分類(lèi) ?防火墻的工作原理 ?Iptables ?NAT ?SQUID代理服務(wù)器 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 5 ?掌握防火墻的分類(lèi)及工作原理 ?掌握 Iptables防火墻和 SQUID代理服務(wù)器的配置 ?掌握 NAT及透明代理的實(shí)現(xiàn)方法 ? Iptables防火墻的配置 ? NAT的實(shí)現(xiàn)方法 ?透明代理的實(shí)現(xiàn)方法 學(xué)習(xí)目標(biāo) 本章難點(diǎn) 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 6 防火墻的分類(lèi) ?包過(guò)濾型防火墻 ?代理服務(wù)器型防火墻 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 7 防火墻的分類(lèi) ? 防火墻技術(shù)用于實(shí)現(xiàn)內(nèi)外網(wǎng)之間訪問(wèn)的安全性。 ? 防火墻的兩種主要類(lèi)型： 包過(guò)濾型防火墻 代理服務(wù)器（應(yīng)用防火墻） 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 8 包過(guò)濾型防火墻 包過(guò)濾型防火墻 內(nèi)置于 Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層或傳輸層對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（ ACL）。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號(hào)等因素，來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。如圖所示是包過(guò)濾型防火墻常用的一種模式，主要用來(lái)阻隔來(lái)自外網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅。 包過(guò)濾型防火墻有兩種基本的默認(rèn)訪問(wèn)控制策略： ?一種是先禁止所有的數(shù)據(jù)包通過(guò)，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。 ?一種是先允許所有的數(shù)據(jù)包通過(guò)，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 9 代理服務(wù)器型防火墻 代理服務(wù)器型防火墻 是應(yīng)用網(wǎng)關(guān)型防火墻，通常工作在應(yīng)用層。代理服務(wù)器實(shí)際上是運(yùn)行在防火墻上的一種服務(wù)器程序。服務(wù)器監(jiān)聽(tīng)客戶機(jī)的請(qǐng)求，如申請(qǐng)瀏覽網(wǎng)頁(yè)等。當(dāng)內(nèi)網(wǎng)的客戶機(jī)請(qǐng)求與外網(wǎng)的真實(shí)服務(wù)器連接時(shí)，客戶端首先連接代理服務(wù)器，然后再由代理服務(wù)器與外網(wǎng)真實(shí)的服務(wù)器建立連接，取得客戶想要的信息，代理服務(wù)器再把信息返回給客戶。 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 10 防火墻的工作原理 ?包過(guò)濾型防火墻工作原理 ?代理服務(wù)器型防火墻工作原理 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 11 包過(guò)濾型防火墻工作原理 包過(guò)濾型防火墻的工作過(guò)程： （ 1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在 IP層向 TCP層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。 （ 2）首先與第一條過(guò)濾規(guī)則進(jìn)行比較。 （ 3）如果與第一條規(guī)則匹配，則進(jìn)行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過(guò)，如果阻止則將該數(shù)據(jù)包丟棄。 （ 4）如果與第一條過(guò)濾規(guī)則不同，則查看是否還有下一條規(guī)則。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進(jìn)行與（ 3）相同的審核過(guò)程。 （ 5）依此類(lèi)推，一條一條規(guī)則匹配，直到最后一條過(guò)濾規(guī)則。如果該數(shù)據(jù)包與所有的過(guò)濾規(guī)則均不匹配，則采用防火墻的默認(rèn)訪問(wèn)控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過(guò)）。 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 12 包過(guò)濾型防火墻工作原理 包過(guò)濾型防火墻原理圖 包過(guò)濾規(guī)則檢查內(nèi)容： ?源、目標(biāo) IP地址 ?TCP和 UDP的源、目的端口號(hào) ?協(xié)議類(lèi)型 ?ICMP消息類(lèi)型 ?TCP報(bào)頭中的 ACK位、序列號(hào)、確認(rèn)號(hào) ?IP校驗(yàn)和 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 13 代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻是應(yīng)用層防火墻，它能提供部分與傳輸有關(guān)的狀態(tài)，能提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸?shù)男畔ⅲぷ髟砣缬覉D所示。 代理服務(wù)器型防火墻原理圖 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 14 代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻的工作過(guò)程： （ 1）主機(jī) A向代理服務(wù)器發(fā)送一個(gè)訪問(wèn)因特網(wǎng)的請(qǐng)求。 （ 2）代理服務(wù)器將檢測(cè) ACL（訪問(wèn)列表）中的設(shè)置。 （ 3）如果主機(jī) A所需要的信息已經(jīng)存在，代理服務(wù)器將直接將其發(fā)送給主機(jī) A。否則，服務(wù)器將代替主機(jī) A訪問(wèn)因特網(wǎng)。 （ 4）因特網(wǎng)將主機(jī) A所需要的信息發(fā)送給代理服務(wù)器，這些信息將被保存在緩存中。 （ 5）代理服務(wù)器將這些信息發(fā)送給主機(jī) A。 （ 6）主機(jī) B向代理服務(wù)器發(fā)送一個(gè)訪問(wèn)同樣信息的請(qǐng)求。 （ 7）代理服務(wù)器將檢測(cè) ACL（訪問(wèn)列表）中的設(shè)置。 （ 8）服務(wù)器直接將已保存的信息發(fā)送給主機(jī) B。 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 15 防火墻的工作原理 ?Netfilter/iptables架構(gòu) ?iptables傳輸數(shù)據(jù)包的過(guò)程 ?iptables命令 ?iptables命令使用舉例 中國(guó)水利水電出版社 Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程 16 Netfilter/iptables架構(gòu) 從 ， Linux下的包過(guò)濾系統(tǒng)經(jīng)歷了 3個(gè)階段： 在 ，采用 ipfwadm來(lái)操作內(nèi)核包過(guò)濾規(guī)則。 在 ，采用 ipchains來(lái)控制內(nèi)核包過(guò)濾規(guī)則。 在 ，采用了一個(gè)全新的內(nèi)核包過(guò)濾管理工具――iptables 。 Netfilter/ipt