【正文】 墻工作原理 代理服務器型防火墻是應用層防火墻，它能提供部分與傳輸有關(guān)的狀態(tài)，能提供與應用相關(guān)的狀態(tài)和部分傳輸?shù)男畔ⅲぷ髟砣缬覉D所示。 （ 5）依此類推，一條一條規(guī)則匹配，直到最后一條過濾規(guī)則。 （ 4）如果與第一條過濾規(guī)則不同，則查看是否還有下一條規(guī)則。 （ 2）首先與第一條過濾規(guī)則進行比較。當內(nèi)網(wǎng)的客戶機請求與外網(wǎng)的真實服務器連接時，客戶端首先連接代理服務器，然后再由代理服務器與外網(wǎng)真實的服務器建立連接，取得客戶想要的信息，代理服務器再把信息返回給客戶。代理服務器實際上是運行在防火墻上的一種服務器程序。 ?一種是先允許所有的數(shù)據(jù)包通過，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過。如圖所示是包過濾型防火墻常用的一種模式，主要用來阻隔來自外網(wǎng)對內(nèi)部網(wǎng)絡的威脅。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（ ACL）。 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 4 防火墻與代理服務器 ?防火墻的分類 ?防火墻的工作原理 ?Iptables ?NAT ?SQUID代理服務器 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 5 ?掌握防火墻的分類及工作原理 ?掌握 Iptables防火墻和 SQUID代理服務器的配置 ?掌握 NAT及透明代理的實現(xiàn)方法 ? Iptables防火墻的配置 ? NAT的實現(xiàn)方法 ?透明代理的實現(xiàn)方法 學習目標 本章難點 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 6 防火墻的分類 ?包過濾型防火墻 ?代理服務器型防火墻 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 7 防火墻的分類 ? 防火墻技術(shù)用于實現(xiàn)內(nèi)外網(wǎng)之間訪問的安全性。Linux網(wǎng)絡服務器配置管理項目實訓教程 楊云 馬立新 楊建新 編著 中國水利水電出版社 項目 11 配置防火墻與代理服務器 主講教師 XXXX 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 3 課題引入：防火墻與代理服務器 防火墻是一種非常重要的網(wǎng)絡安全工具，利用防火墻可以保護企業(yè)內(nèi)部網(wǎng)絡免受外網(wǎng)的威脅，作為網(wǎng)絡管理員，掌握防火墻的安裝與配置非常重要。本章重點介紹 Iptables和 SQUID兩類防火墻的配置。 ? 防火墻的兩種主要類型： 包過濾型防火墻 代理服務器（應用防火墻） 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 8 包過濾型防火墻 包過濾型防火墻 內(nèi)置于 Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡層或傳輸層對經(jīng)過的數(shù)據(jù)包進行篩選。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號等因素，來決定是否允許該數(shù)據(jù)包通過。 包過濾型防火墻有兩種基本的默認訪問控制策略： ?一種是先禁止所有的數(shù)據(jù)包通過，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過。 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 9 代理服務器型防火墻 代理服務器型防火墻 是應用網(wǎng)關(guān)型防火墻，通常工作在應用層。服務器監(jiān)聽客戶機的請求，如申請瀏覽網(wǎng)頁等。 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 10 防火墻的工作原理 ?包過濾型防火墻工作原理 ?代理服務器型防火墻工作原理 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 11 包過濾型防火墻工作原理 包過濾型防火墻的工作過程： （ 1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在 IP層向 TCP層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進行處理。 （ 3）如果與第一條規(guī)則匹配，則進行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過，如果阻止則將該數(shù)據(jù)包丟棄。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進行與（ 3）相同的審核過程。如果該數(shù)據(jù)包與所有的過濾規(guī)則均不匹配，則采用防火墻的默認訪問控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過）。 代理服務器型防火墻原理圖 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 14 代理服務器型防火墻工作原理 代理服務器型防火墻的工作過程： （ 1）主機 A向代理服務器發(fā)送一個訪問因特網(wǎng)的請求。 （ 3）如果主機 A所需要的信息已經(jīng)存在，代理服務器將直接將其發(fā)送給主機 A。 （ 4）因特網(wǎng)將主機 A所需要的信息發(fā)送給代理服務器，這些信息將被保存在緩存中。 （ 6）主機 B向代理服務器發(fā)送一個訪問同樣信息的請求。 （ 8）服務器直接將已保存的信息發(fā)送給主機 B。 在 ，采用 ipchains來控制內(nèi)核包過濾規(guī)則。 Netfilter/iptables最早是與 Linux系統(tǒng)集成的 IP信息包過濾系統(tǒng)。 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 17 Netfilter/iptables架構(gòu) Netfilter組件稱為內(nèi)核空間，它集成在 Linux的內(nèi)核中。 總的來說， Netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器 。 規(guī)則存儲在內(nèi)核的包過濾表中，分別指定了源、目的 IP地址、傳輸協(xié)議、服務類型等。 （ 2）鏈。當數(shù)據(jù)包到達一條鏈時，會從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則將繼續(xù)檢查下一條規(guī)則。 中國水利水電出版社 Linux網(wǎng)絡服務器配置管理項目實訓教程 19 Netfilter/iptables架構(gòu) （ 3）表。其中filter表用于實現(xiàn)數(shù)據(jù)包的過濾、 nat表用于網(wǎng)絡地址轉(zhuǎn)換、 mangle表用于包的重構(gòu)。 filter表包含了 INPUT鏈（處理進入的數(shù)據(jù)包）、 FORWARD鏈（處理轉(zhuǎn)發(fā)的數(shù)據(jù)包）和 OUTPUT鏈（處理本地生成的數(shù)據(jù)包）。 nat表包含了 PREROUTIN鏈（修改即將到來的數(shù)據(jù)包）、 OUTPUT鏈（修改在路由之前本地生成的數(shù)據(jù)包）和 POSTROUTING鏈（修改即將出去的數(shù)