仁愛初中英語七上《Unit-1Topic-3-How-old-are-youA》課件

Linux網(wǎng)絡操作系統(tǒng)廣州工程技術職業(yè)學院第15章Linux防火墻與代理服務器Linux網(wǎng)絡操作系統(tǒng)廣州工程技術職業(yè)學院第15章Linu本章內容防火墻簡介用iptables設置防火墻

本章內容防火墻簡介防火墻簡介

防火墻的概念和功能防火墻的分類和基本工作原理Linux的防火墻

防火墻簡介防火墻的概念和功能防火墻的概念和功能

防火墻具有以下幾種功能:實施安全策略

過濾傳輸數(shù)據(jù)

記錄Internet活動

IP地址轉換

保護內部網(wǎng)絡信息

防火墻的概念和功能防火墻具有以下幾種功能:防火墻的分類和基本工作原理

分類：包過濾防火墻（PacketFilteringFirewall）

代理防火墻（ProxyFirewall）

狀態(tài)監(jiān)測防火墻（StatefulInspectionFirewall）

防火墻的分類和基本工作原理分類：包過濾防火墻

優(yōu)點：處理速度快

對用戶的透明性

缺點：

不能實現(xiàn)用戶級別的認證

日志記錄不完善

無法防御IP欺騙

對某些協(xié)議不適用

包過濾防火墻優(yōu)點：代理防火墻

優(yōu)點：安全性

靈活的過濾規(guī)則

詳細的日志記錄

缺點：

處理速度慢

對用戶不透明

代理服務類型的限制

代理防火墻優(yōu)點：狀態(tài)監(jiān)測防火墻

又稱動態(tài)包過濾防火墻。

主要特點有：

高安全性

可伸縮性和可擴展性

應用范圍廣

狀態(tài)監(jiān)測防火墻又稱動態(tài)包過濾防火墻。Linux的防火墻

在Linux1.2.x和2.0.x.內核中，防火墻系統(tǒng)為ipfawdm，能夠實現(xiàn)對TCP、UDP、ICMP協(xié)議數(shù)據(jù)包的過濾。

在Linux2.2.x的內核中，防火墻為iptables在Linux2.4.x中使用netfilter做為防火墻系統(tǒng)，相應的配置工具為iptabless。Linux的防火墻在Linux1.2.x和2.0.x.用iptables設置防火墻

iptables簡介

iptables命令

用iptables進行包過濾

用iptables做IPMasquade用iptables做透明代理

用iptables設置防火墻iptables簡介iptables簡介

相對于ipfawdm，iptables中新增的特性有：

QoS支持（QualityofService，服務質量）

用樹型的鏈系統(tǒng)（Treestylechainssystem）代替了線型的鏈系統(tǒng)（Linearsystem）

配置上更加靈活，能夠更加容易地對防火墻的配置進行大范圍的改動

能夠對任何協(xié)議進行過濾，而不只是TCP、UDP和ICMP支持反向過濾規(guī)則

iptables簡介相對于ipfawdm，iptablesiptables簡介用iptables不只能夠配置防火墻進行包過濾，還可以用它來配置IPMasquerade實現(xiàn)多臺客戶機共用一個外部IP接入Internet，以及配置透明代理，使客戶端無需進行特殊設置即可使用代理服務器訪問網(wǎng)上資源。iptables簡介用iptables不只能夠配置防火墻進行iptables命令

防火墻鏈包括三種標準的鏈：input鏈。output鏈。forward鏈。用戶自定義的鏈——userdefined。

iptables命令防火墻鏈包括三種標準的鏈：iptables命令iptables命令的格式是：iptables-[ADC]鏈

指派的規(guī)則[選項]iptables-[RI]鏈

規(guī)則號碼

指派的規(guī)則[選項]iptables-D鏈

規(guī)則號碼[選項]iptables-[LFZNX][鏈][選項]iptables-P鏈

目標[選項]iptables-M[-L|-S][選項]iptables命令iptables命令的格式是：iptables命令禁止所有ICMP包進入防火墻：#iptables–Ainput–pICMP–jDENY在localnet鏈中添加一條規(guī)則，對來自任何非本局域網(wǎng)內的目的端口為局域網(wǎng)內的主機的1-1024端口的數(shù)據(jù)包都拒絕。#iptables–Alocalnet–s!/24–d/241:1024–jDENY允許本子網(wǎng)內的主機對外部網(wǎng)絡中的任何主機進行訪問

#iptables–Alocalnet–s/24–d/0.0.0–jACCEPT刪除掉localnet鏈中的第一條規(guī)則

#iptables–Dlocalnet1iptables命令禁止所有ICMP包進入防火墻：用iptables進行包過濾

默認拒絕所有數(shù)據(jù)包

默認接受所有數(shù)據(jù)包

設置防火墻啟動腳本

用iptables進行包過濾默認拒絕所有數(shù)據(jù)包默認拒絕所有數(shù)據(jù)包首先拒絕所有的輸入、輸出、轉發(fā)包（把三條鏈的默認策略設置成DENY），然后根據(jù)需要逐個打開要開放的各項服務。

默認拒絕所有數(shù)據(jù)包首先拒絕所有的輸入、輸出、轉發(fā)包（把三條鏈默認接受所有數(shù)據(jù)包

首先默認允許接受所有的輸入、輸出、轉發(fā)包（把三條鏈的默認策略設置成ACCEPT），然后拒絕某些危險包，如IP欺騙包、廣播包、ICMP服務類型攻擊等。同時檢查系統(tǒng)上的各種服務，禁用所有不需要的服務。

默認接受所有數(shù)據(jù)包 首先默認允許接受所有的輸入、輸出、轉發(fā)用iptables做IPMasquade

IPMasquade簡介

IPMasquade的工作方式

設置Linux啟用IPMasquade用iptables做IPMasquadeIPMasquIPMasquade簡介

IPMasquade（IP偽裝）是Linux的一項網(wǎng)絡功能，類似于一對多（OnetoMany）的網(wǎng)絡地址轉換（NAT）。

IPMasquade簡介 IPMasquade（IP偽IPMasquade的工作方式

IPMasquade的工作方式設置Linux啟用IPMasquade

要對內部網(wǎng)絡中的所有主機開放IPMasquade#iptables-Aforward-ippp0-s/24-jMASQ

設置Linux啟用IPMasquade要對內部網(wǎng)絡中的所用iptables做透明代理

透明代理簡介

透明代理的設置

用iptables做透明代理透明代理簡介透明代理簡介

透明代理是指不需要客戶端進行設置就能使用的代理服務器

架設透明代理服務器有幾個條件：

代理服務器和防火墻設置在同一臺Linux服務器上。

這臺Linux服務器同時是局域網(wǎng)的網(wǎng)關。

客戶端的DNS必須設置正確。

透明代理簡介透明代理是指不需要客戶端進行設置就能使用的代理透明代理的工作方式

客戶端要訪問Internet上的一個Web網(wǎng)址，首先用DNS服務器進行地址解析，得到此網(wǎng)址的IP地址，然后把連接請求的數(shù)據(jù)包發(fā)送給網(wǎng)關進行路由。網(wǎng)關，也就是透明代理服務器，接收到這個數(shù)據(jù)包后，對數(shù)據(jù)包的包頭信息進行判斷，發(fā)現(xiàn)目的地址的端口是80，也就是HTTP服務的端口，按照防火墻的設置，把此數(shù)據(jù)包重定向到本地的代理服務器端口。代理服務器接收到這個連接請求的數(shù)據(jù)包后，按照數(shù)據(jù)包中的請求信息，去Web服務器上取得相應的頁面文件，然后發(fā)送給客戶端。

透明代理的工作方式客戶端要訪問Internet上的一個We透明代理的設置

設置透明代理服務器包括兩個部分，代理服務器的設置和防火墻的設置。

首先要確保在編譯內核的時候打開了IP:transparentproxysupport選項。用iptables配置防火墻加入如下規(guī)則：

#iptables-PinputACCEPT#iptables-PoutputACCE