《RHEL6版-项目14 防火墙与squid代理服务器的搭建.ppt》由会员分享,可在线阅读,更多相关《RHEL6版-项目14 防火墙与squid代理服务器的搭建.ppt(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第1 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022l l课程标准课程标准课程标准课程标准(教学大纲教学大纲教学大纲教学大纲)l l教学设计方案教学设计方案教学设计方案教学设计方案(教案教案教案教案)l lPPTPPT电子课件电子课件电子课件电子课件l l教材习题参考答案教材习题参考答案教材习题参考答案教材习题参考答案l l模拟试卷及参考答案模拟试卷及参考答案模拟试卷及参考答案模拟试卷及参考答案(4(4套套套套)l lITIT认证认证认证认证+全国技能大赛资料全国技能大赛资料全国技能大赛资料全国技能大赛资料l l知识拓展知识拓展知识拓展知识拓展
2、&网络工程解决方案网络工程解决方案网络工程解决方案网络工程解决方案“十二五十二五十二五十二五”职业教育国家规划教材选题立项职业教育国家规划教材选题立项职业教育国家规划教材选题立项职业教育国家规划教材选题立项Red Hat Enterprise Linux 6.4(RHEL 6.4)教材附带的教材附带的光盘资源光盘资源光盘资源光盘资源LinuxLinux网络操作系统配置与管理网络操作系统配置与管理网络操作系统配置与管理网络操作系统配置与管理l l主编主编主编主编:夏笠芹:夏笠芹:夏笠芹:夏笠芹 第第2 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022
3、项目项目项目项目14 14 防火墙与防火墙与防火墙与防火墙与squidsquid代理服务器的搭建代理服务器的搭建代理服务器的搭建代理服务器的搭建【职业知识目标职业知识目标职业知识目标职业知识目标】了解了解了解了解:防火墙的基本概念、分类与作用;防火墙的基本概念、分类与作用;防火墙的基本概念、分类与作用;防火墙的基本概念、分类与作用;SquidSquid代理服务代理服务代理服务代理服务器的分类及特点器的分类及特点器的分类及特点器的分类及特点熟悉熟悉熟悉熟悉:Linux:Linux防火墙的架构及包过滤的匹配流程防火墙的架构及包过滤的匹配流程防火墙的架构及包过滤的匹配流程防火墙的架构及包过滤的匹配流
4、程掌握掌握掌握掌握:iptables:iptables命令的格式和使用;命令的格式和使用;命令的格式和使用;命令的格式和使用;NATNAT的配置方法;的配置方法;的配置方法;的配置方法;【职业能力目标职业能力目标职业能力目标职业能力目标】会安装会安装iptablesiptables软件包;软件包;软件包;软件包;能使用能使用iptablesiptables命令设置包过滤规则命令设置包过滤规则命令设置包过滤规则命令设置包过滤规则会配置会配置会配置会配置NATNAT服务服务服务服务会安装会安装会安装会安装SquidSquid软件包软件包软件包软件包会架设普通代理、透明代理和反向代理服务器会架设普通
5、代理、透明代理和反向代理服务器会架设普通代理、透明代理和反向代理服务器会架设普通代理、透明代理和反向代理服务器会在客户端测试会在客户端测试会在客户端测试会在客户端测试iptablesiptables和和和和SquidSquid的配置情况的配置情况的配置情况的配置情况第第3 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 202214.1 项目背景项目背景信息安全始终是企业信息化中一个不可忽视的重要信息安全始终是企业信息化中一个不可忽视的重要信息安全始终是企业信息化中一个不可忽视的重要信息安全始终是企业信息化中一个不可忽视的重要方面方面方面方面;而如何在保障
6、企事业内部网络安全的同时为内而如何在保障企事业内部网络安全的同时为内而如何在保障企事业内部网络安全的同时为内而如何在保障企事业内部网络安全的同时为内网和外网网和外网网和外网网和外网(互联网互联网互联网互联网)的用户提供高效、安全、稳定可的用户提供高效、安全、稳定可的用户提供高效、安全、稳定可的用户提供高效、安全、稳定可靠的访问服务靠的访问服务靠的访问服务靠的访问服务,是网络管理员所考虑的问题。是网络管理员所考虑的问题。是网络管理员所考虑的问题。是网络管理员所考虑的问题。RHEL RHEL 5 5内置的内置的内置的内置的iptablesiptables防火墙和代理服务器则为我们提供防火墙和代理服
7、务器则为我们提供防火墙和代理服务器则为我们提供防火墙和代理服务器则为我们提供了一种物美价廉的解决方案。了一种物美价廉的解决方案。了一种物美价廉的解决方案。了一种物美价廉的解决方案。第第4 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 202214.2 项目知识准备项目知识准备14.2.1 14.2.1 认识防火墙认识防火墙认识防火墙认识防火墙(firewall)(firewall)1 1什么是防火墙什么是防火墙什么是防火墙什么是防火墙 防火墙防火墙防火墙防火墙是指设置在不同网络是指设置在不同网络是指设置在不同网络是指设置在不同网络(如可信任的企业内部网和
8、不可信的如可信任的企业内部网和不可信的如可信任的企业内部网和不可信的如可信任的企业内部网和不可信的公共网公共网公共网公共网)或网络安全域之间的一系列部件的组合。或网络安全域之间的一系列部件的组合。或网络安全域之间的一系列部件的组合。或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安能根据企业的安能根据企业的安能根据企业的安全策略控制全策略控制全策略控制全策略控制(允许、拒绝、监测允许、拒绝、监测允许、拒绝、监测允许、拒
9、绝、监测)出入网络的信息流出入网络的信息流出入网络的信息流出入网络的信息流,且本身具有较强的且本身具有较强的且本身具有较强的且本身具有较强的抗攻击能力。抗攻击能力。抗攻击能力。抗攻击能力。在逻辑上在逻辑上在逻辑上在逻辑上,防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器,它能有效地监控内它能有效地监控内它能有效地监控内它能有效地监控内部网和部网和部网和部网和InternetInternet之间的任何活动之间的任何活动之间的任何活动之间的任何活动,保证了内部网络的安全。保证了内部网络的安全。保证了内部网络的安
10、全。保证了内部网络的安全。第第5 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20222.防火墙的功能防火墙的功能过滤进出网络的数据包过滤进出网络的数据包过滤进出网络的数据包过滤进出网络的数据包,封堵某些禁止的访问行为封堵某些禁止的访问行为封堵某些禁止的访问行为封堵某些禁止的访问行为对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录,并提供网络使用情并提供网络使用情并提供网络使用情并提供网络使用情况的统计数据况的统计数据况的统计数据况的统计数据,实现对网络存取和访问的监控审计
11、。实现对网络存取和访问的监控审计。实现对网络存取和访问的监控审计。实现对网络存取和访问的监控审计。对网络攻击进行检测和告警。对网络攻击进行检测和告警。对网络攻击进行检测和告警。对网络攻击进行检测和告警。防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击,如如如如IPIP选项中的选项中的选项中的选项中的源路由攻击和源路由攻击和源路由攻击和源路由攻击和ICMPICMP重定向中的重定向路径重定向中的重定向路径重定向中的重定向路径重定向中的重定向路径,并通知防火并通知防火并通知防火并通知防火墙管理员。墙管理员
12、。墙管理员。墙管理员。提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换(NAT),(NAT),从而解决从而解决从而解决从而解决局域网中主机使用内部局域网中主机使用内部局域网中主机使用内部局域网中主机使用内部IPIP地址也能够顺利访问外部网络的地址也能够顺利访问外部网络的地址也能够顺利访问外部网络的地址也能够顺利访问外部网络的应用需求。应用需求。应用需求。应用需求。14.2.1 认识防火墙认识防火墙(firewall)第第6 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月
13、 20223.3.防火墙的类型防火墙的类型防火墙的类型防火墙的类型1 1)按采用的技术划分)按采用的技术划分)按采用的技术划分)按采用的技术划分包过滤型防火墙包过滤型防火墙包过滤型防火墙包过滤型防火墙在网络层或传输层对经过在网络层或传输层对经过在网络层或传输层对经过在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的的数据包进行筛选。筛选的依据是系统内设置的的数据包进行筛选。筛选的依据是系统内设置的的数据包进行筛选。筛选的依据是系统内设置的过滤规则,通过检查数据流中每个数据包的过滤规则,通过检查数据流中每个数据包的过滤规则,通过检查数据流中每个数据包的过滤规则,通过检查数据流中每个
14、数据包的IPIP源源源源地址、地址、地址、地址、IPIP目的地址、传输协议目的地址、传输协议目的地址、传输协议目的地址、传输协议(TCP(TCP、UDPUDP、ICMPICMP等等等等)、TCP/UDPTCP/UDP端口号等因素,来决定是否端口号等因素,来决定是否端口号等因素,来决定是否端口号等因素,来决定是否允许该数据包通过。(包的大小允许该数据包通过。(包的大小允许该数据包通过。(包的大小允许该数据包通过。(包的大小15001500字节)字节)字节)字节)代理服务器型防火墙代理服务器型防火墙代理服务器型防火墙代理服务器型防火墙是运行在防火墙之上是运行在防火墙之上是运行在防火墙之上是运行在防
15、火墙之上的一种应用层服务器程序,它通过对每种应用服的一种应用层服务器程序,它通过对每种应用服的一种应用层服务器程序,它通过对每种应用服的一种应用层服务器程序,它通过对每种应用服务编制专门的代理程序,实现监视和控制应用层务编制专门的代理程序,实现监视和控制应用层务编制专门的代理程序,实现监视和控制应用层务编制专门的代理程序,实现监视和控制应用层数据流的作用。数据流的作用。数据流的作用。数据流的作用。14.2.1 认识防火墙认识防火墙(firewall)第第7 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20222 2)按实现的环境划分)按实现的环境划分)
16、按实现的环境划分)按实现的环境划分软件防火墙:软件防火墙:软件防火墙:软件防火墙:学校、上前台电脑的网吧学校、上前台电脑的网吧学校、上前台电脑的网吧学校、上前台电脑的网吧普通计算机普通计算机普通计算机普通计算机+通用的操作系统(如:通用的操作系统(如:通用的操作系统(如:通用的操作系统(如:linuxlinux)硬件(芯片级)防火墙硬件(芯片级)防火墙硬件(芯片级)防火墙硬件(芯片级)防火墙:基于专门的硬件平台和固化:基于专门的硬件平台和固化:基于专门的硬件平台和固化:基于专门的硬件平台和固化在在在在ASICASIC芯片来执行防火墙的策略和数据加解密,具有速芯片来执行防火墙的策略和数据加解密,
17、具有速芯片来执行防火墙的策略和数据加解密,具有速芯片来执行防火墙的策略和数据加解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点度快、处理能力强、性能高、价格比较昂贵的特点度快、处理能力强、性能高、价格比较昂贵的特点度快、处理能力强、性能高、价格比较昂贵的特点(如:(如:(如:(如:NetScreenNetScreen、FortiNet FortiNet )通常有三个以上网卡接口通常有三个以上网卡接口通常有三个以上网卡接口通常有三个以上网卡接口外网接口:外网接口:外网接口:外网接口:用于连接用于连接用于连接用于连接InternetInternet网;网;网;网;内网接口:内网接口:内网接
18、口:内网接口:用于连接代理服务器或内部网络;用于连接代理服务器或内部网络;用于连接代理服务器或内部网络;用于连接代理服务器或内部网络;DMZDMZ接口接口接口接口(非军事化区):专用于连接提供服务的服务器群。(非军事化区):专用于连接提供服务的服务器群。(非军事化区):专用于连接提供服务的服务器群。(非军事化区):专用于连接提供服务的服务器群。Console口4个10/100/1000口并发连接数并发连接数并发连接数并发连接数:500000:500000 网络吞吐量网络吞吐量网络吞吐量网络吞吐量:1100Mbps:1100Mbps过滤带宽过滤带宽过滤带宽过滤带宽 :250Mbps:250Mbp
19、s CheckPoint UTM-1 570 14.2.1 认识防火墙认识防火墙(firewall)第第8 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 202214.2.2 Linux防火墙概述防火墙概述1Linux防火墙的历史防火墙的历史从从从从1.11.1内核开始,内核开始,内核开始,内核开始,LinuxLinux系统就已经具有包过滤功能系统就已经具有包过滤功能系统就已经具有包过滤功能系统就已经具有包过滤功能了,随着了,随着了,随着了,随着LinuxLinux内核版本的不断升级,内核版本的不断升级,内核版本的不断升级,内核版本的不断升级,Linux
20、Linux下的包下的包下的包下的包过滤系统经历了如下过滤系统经历了如下过滤系统经历了如下过滤系统经历了如下3 3个阶段:个阶段:个阶段:个阶段:在在在在2.02.0内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是ipfwipfw,管理防火墙,管理防火墙,管理防火墙,管理防火墙的命令工具是的命令工具是的命令工具是的命令工具是ipfwadmipfwadm。在在在在2.22.2内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是ipchainipchain,管理防,管理防,管理防,管理防火墙的命令工具是火墙的命令工具是火墙的
21、命令工具是火墙的命令工具是ipchainsipchains。在在在在2.42.4之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是netfilternetfilter,防火墙的命令工具是防火墙的命令工具是防火墙的命令工具是防火墙的命令工具是iptablesiptables。第第9 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20222Linux防火墙的架构防火墙的架构LinuxLinux防火墙系统由以下两个组件组成:防火墙系统由以下两个组件组成:防火墙系统由以下两个组件组成:防火墙系统由以下
22、两个组件组成:netfilternetfilter:netfilternetfilter是集成在内核中的一部分是集成在内核中的一部分是集成在内核中的一部分是集成在内核中的一部分作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。提供了一系列的表,每个表由若干个链组成,而每条链可以由一提供了一系列的表,每个表由若干个链组成,而每条链可以由一提供了一系列的表,每个表由若干个链组成,而每条链可以由一提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。条或若干条规则组成。条或若干条规则组成。条或若干条规
23、则组成。netfilternetfilter是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。表表表表链链链链规则规则规则规则的分层结构来组织规则的分层结构来组织规则的分层结构来组织规则的分层结构来组织规则iptablesiptables:是是是是LinuxLinux系统为用户提供的管理系统为用户提供的管理系统为用户提供的管理系统为用户提供的管理netfilternetfilter的一种工具,是编辑、修的一种工具,是编辑、修的一种工具,是编辑、修的一种工具,是编
24、辑、修改防火墙(过滤)规则的编辑器改防火墙(过滤)规则的编辑器改防火墙(过滤)规则的编辑器改防火墙(过滤)规则的编辑器通过这些规则及其他配置,告诉内核的通过这些规则及其他配置,告诉内核的通过这些规则及其他配置,告诉内核的通过这些规则及其他配置,告诉内核的netfilternetfilter对来自某些源、对来自某些源、对来自某些源、对来自某些源、前往某些目的地或具有某些协议类型的数据包如何处理。前往某些目的地或具有某些协议类型的数据包如何处理。前往某些目的地或具有某些协议类型的数据包如何处理。前往某些目的地或具有某些协议类型的数据包如何处理。这些规则会保存在内核空间之中。这些规则会保存在内核空间
25、之中。这些规则会保存在内核空间之中。这些规则会保存在内核空间之中。14.2.2 Linux防火墙概述防火墙概述第第10 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022表表链链规则规则的分层结构来组织规则的分层结构来组织规则14.2.2 Linux防火墙概述防火墙概述第第11 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20221表(表(tables)专表专用专表专用filter表表包过滤包过滤含含INPUT、FORWARD、OUTPUT三个链,三个链,nat表表包地址修改包地址修改:用于修改数据包的:用于
26、修改数据包的IP地址和端口地址和端口号,即进行网络地址转换。号,即进行网络地址转换。含含PREROUTING、POSTROUTING、OUTPUT三个链,三个链,mangle表表包重构:修改包的服务类型、生存周期以包重构:修改包的服务类型、生存周期以及为数据包设置及为数据包设置Mark标记,以实现标记,以实现Qos(服务质量)、策(服务质量)、策略路由和网络流量整形等特殊应用。略路由和网络流量整形等特殊应用。含含PREROUTING、POSTROUTING、INPUT、OUTPUT和和FORWARD五个链,五个链,raw表表数据跟踪数据跟踪:用于数据包是否被状态跟踪机制处:用于数据包是否被状态
27、跟踪机制处理理包含包含PREROUTING、OUTPUT两个链。两个链。14.2.3iptables规则的分层结构规则的分层结构第第12 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20222链(链(chains)处理的数据包流向的不同处理的数据包流向的不同INPUT链链当数据包源自外界并前往防火墙所在的本机当数据包源自外界并前往防火墙所在的本机(入站)时,即数据包的目的地址是本机时,则应用此链中(入站)时,即数据包的目的地址是本机时,则应用此链中的规则。的规则。OUTPUT链链当数据包源自防火墙所在的主机并要向外发当数据包源自防火墙所在的主机并要向外
28、发送(出站)时,即数据包的源地址是本机时,则应用此链中送(出站)时,即数据包的源地址是本机时,则应用此链中的规则。的规则。FORWARD链链当数据包源自外部系统,并经过防火墙所当数据包源自外部系统,并经过防火墙所在主机前往另一个外部系统(转发)时,则应用此链中的规在主机前往另一个外部系统(转发)时,则应用此链中的规则。则。PREROUTING链链当数据包到达防火墙所在的主机在作当数据包到达防火墙所在的主机在作路由选择之前,且其源地址要被修改(源地址转换)时,则路由选择之前,且其源地址要被修改(源地址转换)时,则应用此链中的规则。应用此链中的规则。POSTROUTING链链当数据包在路由选择之后
29、即将离开防当数据包在路由选择之后即将离开防火墙所在主机,且其目的地址要被修改(目的地址转换)时,火墙所在主机,且其目的地址要被修改(目的地址转换)时,则应用此链中的规则。则应用此链中的规则。用户自定义链用户自定义链14.2.3iptables规则的分层结构规则的分层结构第第13 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20223规则(规则(rules)规则其实就是网管员预定义的过滤筛选数据包的规则其实就是网管员预定义的过滤筛选数据包的规则其实就是网管员预定义的过滤筛选数据包的规则其实就是网管员预定义的过滤筛选数据包的条件。条件。条件。条件。规则一般
30、的定义为规则一般的定义为规则一般的定义为规则一般的定义为“如果数据包头符合这样的条如果数据包头符合这样的条如果数据包头符合这样的条如果数据包头符合这样的条件,就这样处理这个数据包件,就这样处理这个数据包件,就这样处理这个数据包件,就这样处理这个数据包”。当数据包与规则匹配时,当数据包与规则匹配时,当数据包与规则匹配时,当数据包与规则匹配时,iptablesiptables就根据规则所就根据规则所就根据规则所就根据规则所定义的动作来处理这些数据包(如放行、丢弃和定义的动作来处理这些数据包(如放行、丢弃和定义的动作来处理这些数据包(如放行、丢弃和定义的动作来处理这些数据包(如放行、丢弃和拒绝等)。
31、拒绝等)。拒绝等)。拒绝等)。配置防火墙的主要工作就是添加、修改和删除这配置防火墙的主要工作就是添加、修改和删除这配置防火墙的主要工作就是添加、修改和删除这配置防火墙的主要工作就是添加、修改和删除这些规则。些规则。些规则。些规则。学习防火墙就是学习这些规则如何去写学习防火墙就是学习这些规则如何去写学习防火墙就是学习这些规则如何去写学习防火墙就是学习这些规则如何去写14.2.3iptables规则的分层结构规则的分层结构第第14 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 202214.2.414.2.4数据包过滤匹配流程数据包过滤匹配流程数据包过滤匹配
32、流程数据包过滤匹配流程 表间的优先顺序表间的优先顺序表间的优先顺序表间的优先顺序依次为:依次为:依次为:依次为:rawraw、manglemangle、natnat、filterfilter 链间的匹配顺序链间的匹配顺序链间的匹配顺序链间的匹配顺序入站数据:入站数据:入站数据:入站数据:PREROUTINGPREROUTING、INPUTINPUT出站数据:出站数据:出站数据:出站数据:OUTPUTOUTPUT、POSTROUTINGPOSTROUTING转发数据:转发数据:转发数据:转发数据:PREROUTINGPREROUTING、FORWARDFORWARD、POSTROUTINGPOS
33、TROUTING 链内规则的匹配顺序链内规则的匹配顺序链内规则的匹配顺序链内规则的匹配顺序按顺序依次进行检查,找到相匹配的规则即停止(按顺序依次进行检查,找到相匹配的规则即停止(按顺序依次进行检查,找到相匹配的规则即停止(按顺序依次进行检查,找到相匹配的规则即停止(LOGLOG策略会有例外)策略会有例外)策略会有例外)策略会有例外)若在该链内找不到相匹配的规则,则按该链的默认策略若在该链内找不到相匹配的规则,则按该链的默认策略若在该链内找不到相匹配的规则,则按该链的默认策略若在该链内找不到相匹配的规则,则按该链的默认策略处理处理处理处理第第15 页LinuxLinux网络操作系统配置与管理网络
34、操作系统配置与管理29 十二月十二月 202214.2.5 代理服务器代理服务器squid1 1SquidSquid代理服务器的作用代理服务器的作用代理服务器的作用代理服务器的作用Squid除了具有防火墙的代理、共享上网等功能外除了具有防火墙的代理、共享上网等功能外,还有以下还有以下特别的作用特别的作用:加快访问速度加快访问速度,节约通信带宽节约通信带宽多因素限制用户访问多因素限制用户访问,记录用户行为记录用户行为 2 2SquidSquid代理服务器的工作流程代理服务器的工作流程代理服务器的工作流程代理服务器的工作流程第第16 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管
35、理29 十二月十二月 20223Squid代理服务器的分类及特点代理服务器的分类及特点Squid代理服务器按照代理的设置方式可以分为以代理服务器按照代理的设置方式可以分为以下三种下三种:普通普通(标准标准)代理服务器代理服务器这种代理服务器需要在客户端的浏览器中设置代理服务器的地址这种代理服务器需要在客户端的浏览器中设置代理服务器的地址和端口号。和端口号。透明代理服务器透明代理服务器透明代理是透明代理是NAT和代理的完美结合和代理的完美结合,之所以称为透明之所以称为透明,是因为在这是因为在这种方式下用户感觉不到代理服务器的存在种方式下用户感觉不到代理服务器的存在,不需要在浏览器或其它不需要在浏
36、览器或其它客户端工具客户端工具(如网络快车、如网络快车、QQ、迅雷等、迅雷等)中作任何设置中作任何设置,客户机只客户机只需要将默认网关设置为代理服务器的需要将默认网关设置为代理服务器的IP地址便可。地址便可。反向代理服务器反向代理服务器普通代理和透明代理是为局域网用户访问普通代理和透明代理是为局域网用户访问Internet中的中的Web站点站点提供缓存代理提供缓存代理,而反向代理恰恰相反而反向代理恰恰相反,是为是为Internet中的用户访问企中的用户访问企业局域网内的业局域网内的Web站点提供缓存加速。站点提供缓存加速。14.2.5 代理服务器代理服务器squid第第17 页LinuxLin
37、ux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 202214.3 项目实施项目实施任务任务任务任务14-1 iptables14-1 iptables服务的安装服务的安装服务的安装服务的安装1 1安装安装安装安装iptablesiptables软件包软件包软件包软件包因为因为因为因为netfilter/iptablesnetfilter/iptables的的的的netfilternetfilter组件是与内核集成组件是与内核集成组件是与内核集成组件是与内核集成在一起的,所以只需要安装在一起的,所以只需要安装在一起的,所以只需要安装在一起的,所以只需要安装iptablesip
38、tables工具,默认情工具,默认情工具,默认情工具,默认情况下系统会安装该软件包,可通过下面命令检查是况下系统会安装该软件包,可通过下面命令检查是况下系统会安装该软件包,可通过下面命令检查是况下系统会安装该软件包,可通过下面命令检查是否已安装:否已安装:否已安装:否已安装:rootdyzx#rpm -qa|grep iptablesiptables-ipv6-1.4.7-9.el6.i686iptables-1.4.7-9.el6.i686若输出了版本信息,则表明系统已安装。若输出了版本信息,则表明系统已安装。若输出了版本信息,则表明系统已安装。若输出了版本信息,则表明系统已安装。若未安装可
39、在若未安装可在若未安装可在若未安装可在RHEL 6RHEL 6安装光盘中找到安装包安装光盘中找到安装包安装光盘中找到安装包安装光盘中找到安装包iptables-iptables-1.4.7-9.el6.i6861.4.7-9.el6.i686.rpm.rpm进行安装便可。进行安装便可。进行安装便可。进行安装便可。第第18 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20222iptables服务运行管理服务运行管理(1 1)iptablesiptables服务的启动、停止或重新启动服务的启动、停止或重新启动服务的启动、停止或重新启动服务的启动、停止或重
40、新启动service iptables startservice iptables start|stopstop|restartrestart(2)iptables服务的自动启动服务的自动启动#chkconfigchkconfig -level 345 level 345 iptables oniptables on#ntsysv ntsysv此命令打开文本图形界面,在此命令打开文本图形界面,在此命令打开文本图形界面,在此命令打开文本图形界面,在iptablesiptables前面选中前面选中前面选中前面选中“*”“*”,确定后即可实现开机自动加载,确定后即可实现开机自动加载,确定后即可实现开
41、机自动加载,确定后即可实现开机自动加载iptablesiptables服服服服务,否则取消掉务,否则取消掉务,否则取消掉务,否则取消掉“*”“*”就不自动加载了。就不自动加载了。就不自动加载了。就不自动加载了。任务任务14-1 iptables服务的安装服务的安装第第19 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022是对防火墙配置管理的核心命令,其基本格式为:是对防火墙配置管理的核心命令,其基本格式为:是对防火墙配置管理的核心命令,其基本格式为:是对防火墙配置管理的核心命令,其基本格式为:iptablesiptables -t-t 表名表名表名
42、表名 命令选项命令选项命令选项命令选项 链名链名链名链名 -匹配条件匹配条件匹配条件匹配条件 -j-j 目标动作目标动作目标动作目标动作/跳转跳转跳转跳转 其中:其中:其中:其中:表名、链名表名、链名表名、链名表名、链名用于指定所操作的表和链,若未指定用于指定所操作的表和链,若未指定用于指定所操作的表和链,若未指定用于指定所操作的表和链,若未指定表名,则表名,则表名,则表名,则filterfilter作为缺省表。作为缺省表。作为缺省表。作为缺省表。命令选项命令选项命令选项命令选项指定管理规则的方式指定管理规则的方式指定管理规则的方式指定管理规则的方式 ,常用的命令选项,常用的命令选项,常用的命
43、令选项,常用的命令选项见表见表见表见表15-115-1。匹配条件匹配条件匹配条件匹配条件用于指定对符合什么样的条件的包进行用于指定对符合什么样的条件的包进行用于指定对符合什么样的条件的包进行用于指定对符合什么样的条件的包进行处理,常用条件匹配见表处理,常用条件匹配见表处理,常用条件匹配见表处理,常用条件匹配见表15-215-2。目标动作目标动作目标动作目标动作/跳转跳转跳转跳转用来指定内核对数据包的处理方式,用来指定内核对数据包的处理方式,用来指定内核对数据包的处理方式,用来指定内核对数据包的处理方式,如允许通过、拒绝、丢弃或跳转给其他链进行处理等,如允许通过、拒绝、丢弃或跳转给其他链进行处理
44、等,如允许通过、拒绝、丢弃或跳转给其他链进行处理等,如允许通过、拒绝、丢弃或跳转给其他链进行处理等,常用目标动作常用目标动作常用目标动作常用目标动作/跳转见表跳转见表跳转见表跳转见表15-315-3。任务任务14-2 认识认识iptables命令的基本格式命令的基本格式第第20 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022任务任务14-2 认识认识iptables命令的基本格式命令的基本格式第第21 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022任务任务14-2 认识认识iptables命令的基本
45、格式命令的基本格式第第22 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022网络层的网络层的IP数据包、传输层数据包、传输层TCP数据包数据包任务任务14-2 认识认识iptables命令的基本格式命令的基本格式第第23 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022任务任务14-2 认识认识iptables命令的基本格式命令的基本格式第第24 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 2022任务任务14-3 iptables命令的基本使用命令的基本使用1
46、添加、插入规则添加、插入规则#iptables -t filter -A INPUT -p tcp -j ACCEPT#iptables -I I INPUT -p udp -j ACCEPT#iptables -I-I INPUT 2 -p icmp -j ACCEPT2查看规则查看规则#iptables -t filter-L INPUT-line-numbersChain INPUT(policy ACCEPT)num target prot opt source destination1 ACCEPT udp -anywhere anywhere2 ACCEPT icmp-anywhe
47、re anywhere3 ACCEPT tcp -anywhere anywhere#iptables-vnL INPUTL选项要放在选项要放在vn后,否则会将后,否则会将vn当成链名当成链名第第25 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20223创建、删除用户自定义链创建、删除用户自定义链#iptables -t filter -N hnwy在在filter表中创建一条用户自定义的链,链名为表中创建一条用户自定义的链,链名为hnwy。#iptables -t filter -X 清空清空filter表中所有自定义的链。表中所有自定义的链。4删
48、除、清空规则删除、清空规则#iptables -D INPUT 3#iptables -F#iptables -t nat -F 任务任务14-3 iptables命令的基本使用命令的基本使用第第26 页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理29 十二月十二月 20225 5设置内置链的默认策略设置内置链的默认策略设置内置链的默认策略设置内置链的默认策略当数据包与链中所有规则都不匹配时,将根据链的当数据包与链中所有规则都不匹配时,将根据链的当数据包与链中所有规则都不匹配时,将根据链的当数据包与链中所有规则都不匹配时,将根据链的默认策略来处理数据包。默认策略来处理数据包
49、。默认策略来处理数据包。默认策略来处理数据包。默认允许的策略:默认允许的策略:默认允许的策略:默认允许的策略:首先默认允许接受所有的输入、输出、首先默认允许接受所有的输入、输出、首先默认允许接受所有的输入、输出、首先默认允许接受所有的输入、输出、转发包,然后拒绝某些危险包。没有被拒绝的都被允许转发包,然后拒绝某些危险包。没有被拒绝的都被允许转发包,然后拒绝某些危险包。没有被拒绝的都被允许转发包,然后拒绝某些危险包。没有被拒绝的都被允许(灵活方便、但安全性不高)(灵活方便、但安全性不高)(灵活方便、但安全性不高)(灵活方便、但安全性不高)#iptablesiptables -P-P OUTPUT
50、 OUTPUT ACCEPT ACCEPT默认禁止的策略:默认禁止的策略:默认禁止的策略:默认禁止的策略:通常采用默认禁止的策略。通常采用默认禁止的策略。通常采用默认禁止的策略。通常采用默认禁止的策略。首先拒绝首先拒绝首先拒绝首先拒绝所有的输入、输出、转发包,然后根据需要逐个打开要所有的输入、输出、转发包,然后根据需要逐个打开要所有的输入、输出、转发包,然后根据需要逐个打开要所有的输入、输出、转发包,然后根据需要逐个打开要开放的各项服务。开放的各项服务。开放的各项服务。开放的各项服务。没有明确确允许的都被拒绝没有明确确允许的都被拒绝没有明确确允许的都被拒绝没有明确确允许的都被拒绝 (安全性(安