防火墙与代理服务器优秀PPT.ppt

《防火墙与代理服务器优秀PPT.ppt》由会员分享，可在线阅读，更多相关《防火墙与代理服务器优秀PPT.ppt（68页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、LinuxLinux网络操作系统与实训（第网络操作系统与实训（第2 2版）版）中国铁道出版社中国铁道出版社孙丽娜 孔令宏 杨 云 主编李 斌 姜庆玲 梁光明 副主编教材地址：教材地址：:/51eds /show/3294.html :/51eds /show/3294.htmlWindows&Linux老老师师沟通群：沟通群：189934741第第1515章章 防火墙与代理服务器防火墙与代理服务器 1.项目课题引入 2.防火墙概述 3.iptables 4.NAT 5.squid代理服务器课题引入课题引入项目背景项目背景l假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙

2、的eth0接口连接外网，IP地址为222.206.160.100；eth1接口连接内网，IP地址为192.168.1.1。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的爱护，并允许外网的用户可以访问此3台服务器。课题引入课题引入项目分析项目分析l完成本项目须要解决的问题：l1、什么是防火墙,其工作原理是什么l2、如何运用Iptables进行防火墙设置l3、如何配置包过滤防火墙l4、如何实现NATl5、什么是代理服务器,其工作原理是什么l6、squid代理服务器的安装、启动与运行方法l7、squid服务器

3、的配置方法l8、透亮代理的配置方法课题引入课题引入教学目标教学目标l学习本课须要实现的教学目标：l驾驭防火墙的概念和工作原理l驾驭Iptables的结构和配置方法l驾驭包过滤防火墙的配置方法l驾驭NAT的配置方法l驾驭代理服务器的工作原理l驾驭代理服务器的启动与停止方法l驾驭代理服务器配置文件的修改方法l驾驭代理服务器的配置方法l驾驭透亮代理的配置方法课题引入课题引入应达到的职业实力应达到的职业实力l学生学习本课后应当具有的职业实力：l驾驭为企业设计防火墙的实力l驾驭Linux下Iptables的配置方法l驾驭包过滤防火墙的配置实力l驾驭NAT的配置实力l进行squid代理服务器的配置实力l进

4、行透亮代理服务器的配置实力l具有较好的团队合作实力15.1 15.1 防火墙概述防火墙概述15.1.1 防火墙的概念防火墙的概念15.1 15.1 防火墙概述防火墙概述15.1.2 iptables简介简介15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理netfilter的5条链相互地关

5、联，如图15-1所示。15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理2iptables工作流程工作流程15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.3 安装iptables15.2 iptables15.2 iptables15.2.3 安装iptables15.2.4

6、 iptables吩咐15.2 iptables15.2 iptables15.2 iptables15.2 iptables15.2.4 iptables吩咐15.2 iptables15.2 iptables15.2.4 iptables吩咐15.2 iptables15.2 iptables15.2.4 iptables吩咐15.2 iptables15.2 iptables15.2.4 iptables吩咐15.2 iptables15.2 iptables15.2.5 iptables吩咐运用举例吩咐运用举例15.2 iptables15.2 iptables15.2.5 iptab

7、les吩咐运用举例吩咐运用举例15.2 iptables15.2 iptables15.2.5 iptables吩咐运用举例吩咐运用举例15.2 iptables15.2 iptables15.2.5 iptables吩咐运用举例吩咐运用举例15.2 iptables15.2 iptables15.2.5 iptables吩咐运用举例吩咐运用举例15.3 NAT15.3 NAT15.3.1 NAT的基本学问的基本学问NAT的工作过程：（1）客户机将数据包发给运行NAT的计算机。（2）NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，

8、同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。（3）外部网络发送回答信息给NAT。（4）NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络运用的专用IP地址并转发给客户机。15.3 NAT15.3 NAT15.3.1 NAT的基本学问的基本学问NAT的工作过程示意图：15.3 NAT15.3 NAT15.3.1 NAT的基本学问的基本学问NAT的分类：（1）源NAT（Source NAT，SNAT）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最终一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNA

9、T的一种特殊形式。（2）目的NAT（Destination NAT，DNAT）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后马上进行Pre-Routing动作。端口转发、负载均衡和透亮代理均属于DNAT。15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT用户依据规则所处理的信息包类型，运用iptables吩咐设置NAT规则：要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。干脆从本地出去的数据包的规则被添加到OUTPUT链中。15.3 NAT15.3 NAT

10、15.3.2 运用运用Iptables实现实现NAT数据包穿越NAT的工作流程示意图：15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT【例15-10】假设某企业网中NAT服务器安装了双网卡，eth0连接外网，eth1连接内网，IP地址为。企业内部网络的客户机都只有私有IP地址。利用NAT服务使企业内部网络的计算机能够连接Internet网络。15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT假设eth0的IP地址是静态安排的。公网IP地址池为222.206.160.100-222.206.160.150。此时应作SNAT，i

11、ptables吩咐的-j参数的语法格式为：-j SNAT -to-source/-to IP1-IP2:port1-port2 配置步骤：打开Linux的内核转发功能。rootServer#echo“1”/proc/sys/net/ipv4/ip_forward 实现SNAT。rootServer#iptables t nat A POSTROUTING p tcp o eth0 j SNAT-to 222.206.160.100-222.206.160.150:1025:30000 15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT假设连接外网的接口是利用A

12、DSL拨号连接的ppp0。此时应作IP伪装，iptables吩咐的-j参数的语法格式为：-j MASQUERADE 配置步骤：打开Linux的内核转发功能。rootServer#echo“1”/proc/sys/net/ipv4/ip_forward 实现IP伪装。rootServer#iptables t nat A POSTROUTING o ppp0 -j MASQUERADE 15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT【例15-11】假设某企业网中NAT服务器安装了双网卡，eth0连接外网，IP地址为222.206.160.100。eth1连接

13、内网，IP地址为192.168.0.1。企业内部网络WEB服务器的IP地址为192.168.1.2。要求当Internet网络中的用户在阅读器中输入 :/222.206.160.100时可以访问到内网的WEB服务器。15.3 NAT15.3 NAT15.3.2 运用运用Iptables实现实现NAT依据题目要求可知，此时应作DNAT。iptables吩咐的-j参数的语法格式为：-j DNAT -to-destination/-to IP1-IP2:port1-port2 实现DNAT的配置语句：#iptables t nat A PREROUTING p tcp d 222.206.160.1

14、00-dport 80 j DNAT-to 192.168.1.2:80或者：#iptables t nat A PREROUTING p tcp i eth0-dport 80 j DNAT-to 192.168.1.2:80 15.4 squid15.4 squid代理服务器代理服务器15.4.1 代理服务器的工作原理代理服务器的工作原理15.4 squid15.4 squid代理服务器代理服务器15.4.1 代理服务器的工作原理代理服务器的工作原理15.4 squid15.4 squid代理服务器代理服务器15.4.2 代理服务器的代理服务器的作用作用（1）提高访问速度。（2）用户访问限

15、制。（3）平安性得到提高。15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置

16、配置squid服务器服务器1几个常用的选项 （1）_port 3128。_port 192.168.2.254:8080（2）cache_mem 512MB。内存缓冲设置是指须要运用多少内存来作为高速缓存。（3）cache_dir ufs /var/spool/squid 4096 16 256。用于指定硬盘缓冲区的大小。（4）cache_effective_user squid。设置运用缓存的有效用户。cache_effective_user nobody（5）cache_effective_group squid。设置运用缓存的有效用户组，默认为squid组，也可更改。15.4 squid

17、15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器1几个常用的选项（6）。设置有效的DNS服务器的地址。（7）cache_access_log /var/log/squid/access.log。设置访问记录的日志文件。（8）cache_log/var/log/squid/cache.log。设置缓存日志文件。该文件记录缓存的相关信息。（9）cache_store_log/var/log/squid/store.log。设置网页缓存日志文件。网页缓存日志记录了缓存中存储对象的相关信息，例如存储对象的大小、存储时间、过期时间等。15.4 squid15.4 sq

18、uid代理服务器代理服务器15.4.4 配置配置squid服务器服务器1几个常用的选项（10）visible_hostname 192.168.0.3。visible_hostname字段用来帮助Squid得知当前的主机名，假如不设置此项，在启动Squid的时候就会遇到“FATAL：Could not determine fully qualified hostnamePlease set visible hostname”这样的提示。当访问发生错误时，该选项的值会出现在客户端错误提示网页中。（11）cache_mgr mastersmile 。设置管理员的邮件地址。当客户端出现错误时，该邮件

19、地址会出现在网页提示中，这样用户就可以写信给管理员来告知发生的事情。15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器2设置访问限制列表15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器

20、服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.5 配置透亮代理配置透亮代理15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.6 squid服务器配置实例服务器配置实例15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4

21、 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器总结总结l 本项目的解决方案:l/1.清空全部的链规则lrootServer#iptables -Fl/2.禁止iptables防火墙转发任何数据包lrootServer#iptables -P FORWARD DROPl/3.建立来自Internet网络

22、的数据包的过滤规则l#iptables-A FORWARD p tcp d 222.206.100.2 p tcp -dport 80 -i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.3 -p tcp -dport 53 -i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.4 -p tcp -dport 25 -i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.4 -p tcp -dport 110

23、-i eth0 -j ACCEPTl/4.接受来自内网的数据包通过lrootServer#iptables -A FORWARD s 222.206.100.0/24 j ACCEPTl/5.对于全部的ICMP数据包进行限制，允许每秒通过一个数据包，该限制的触发条件是10个包lrootServer#iptables-A FORWARD-p icmp-m limit-limit 1/s-limit-burst 10-j ACCEPT作业作业1 1l依据如下防火墙配置的需求,写出配置吩咐:l设置filter表中3个链的默认策略为拒绝l查看全部链的规则列表l添加一个用户自定义的链custom1l向f

24、ilter表的INPUT链的最终添加一条规则，对来自192.168.1.10这台主机的数据包丢弃l向filter表中的INPUT链的第3条规则前面插入一条规则，允许来自于非192.168.3.0/24网段的主机对本机的25端口的访问作业作业2 2lJohn支配在他的局域网建立防火墙，防止Internet干脆进入局域网，反之亦然。在防火墙上他不能用包过滤或SOCKS程序.而且他想要供应应局域网用户仅有的几个Internet服务和协议,请选择合适的防火墙,并写出配置过程l假设要限制来自IP地址199.88.77.66的ping吩咐，请写出iptables吩咐l假如想要防止199.88.77.0/24网络用TCP分组连接端口21，请写出iptables吩咐本章小结本章小结v防火墙的分类及工作原理vIptables防火墙的配置vNATvSQUID代理服务器的配置v透亮代理的实现v一、录像位置一、录像位置v :/jnjpk/linux/kcweb/qcsysp.aspv二、项目实训目的二、项目实训目的v能娴熟完成利用能娴熟完成利用Iptables架设企业架设企业NAT服务器。服务器。v能娴熟完成企业能娴熟完成企业Squid代理服务器的架设与维护。代理服务器的架设与维护。v三、教材网站三、教材网站v :/51eds /show/3250.html项目实录项目实录