網(wǎng)絡(luò)操作系統(tǒng)與實(shí)訓(xùn)（第2版）中國鐵道出版社孫麗娜孔令宏楊云主編李斌姜慶玲梁明亮副主編教材地址：&教師交流群：189934741第15章防火墻與代理服務(wù)器1.項(xiàng)目課題引入2.防火墻概述3.4.5.代理服務(wù)器課題引入——項(xiàng)目背景假設(shè)某單位租用專線上網(wǎng)。網(wǎng)絡(luò)拓?fù)淙缦聢D所示。防火墻的0接口連接外網(wǎng)，地址為222.206.160.100；1接口連接內(nèi)網(wǎng)，地址為192.168.1.1。假設(shè)在內(nèi)網(wǎng)中存在、和3臺服務(wù)器，這3臺服務(wù)器都有公有地址。其地址如圖所示。設(shè)置防火墻規(guī)則加強(qiáng)對內(nèi)網(wǎng)服務(wù)器的保護(hù)，并允許外網(wǎng)的用戶可以訪問此3臺服務(wù)器。課題引入——項(xiàng)目分析完成本項(xiàng)目需要解決的問題：1、什么是防火墻,其工作原理是什么2、如何使用進(jìn)行防火墻設(shè)置3、如何配置包過濾防火墻4、如何實(shí)現(xiàn)5、什么是代理服務(wù)器,其工作原理是什么6、代理服務(wù)器的安裝、啟動(dòng)與運(yùn)行方法7、服務(wù)器的配置方法8、透明代理的配置方法課題引入——教學(xué)目標(biāo)學(xué)習(xí)本課需要實(shí)現(xiàn)的教學(xué)目標(biāo)：掌握防火墻的概念和工作原理掌握的結(jié)構(gòu)和配置方法掌握包過濾防火墻的配置方法掌握的配置方法掌握代理服務(wù)器的工作原理掌握代理服務(wù)器的啟動(dòng)與停止方法掌握代理服務(wù)器配置文件的修改方法掌握代理服務(wù)器的配置方法掌握透明代理的配置方法課題引入——應(yīng)達(dá)到的職業(yè)能力學(xué)生學(xué)習(xí)本課后應(yīng)該具有的職業(yè)能力：掌握為企業(yè)設(shè)計(jì)防火墻的能力掌握下的配置方法掌握包過濾防火墻的配置能力掌握的配置能力進(jìn)行代理服務(wù)器的配置能力進(jìn)行透明代理服務(wù)器的配置能力具有較好的團(tuán)隊(duì)合作能力15.1防火墻概述15.1.1防火墻的概念15.1防火墻概述15.1.2簡介15.215.2.2工作原理15.215.2.2工作原理15.215.2.2工作原理15.215.2.2工作原理的5條鏈相互地關(guān)聯(lián)，如圖15-1所示。15.215.2.2工作原理15.215.2.2工作原理15.215.2.2工作原理2．工作流程15.215.2.2工作原理15.215.2.3安裝15.215.2.3安裝15.2.4命令15.215.215.2.4命令15.215.2.4命令15.215.2.4命令15.215.2.4命令15.215.2.5命令使用舉例15.215.2.5命令使用舉例15.215.2.5命令使用舉例15.215.2.5命令使用舉例15.215.2.5命令使用舉例15.315.3.1的基本知識的工作過程：（1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行的計(jì)算機(jī)。（2）將數(shù)據(jù)包中的端口號和專用的地址換成它自己的端口號和公用的地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī)，同時(shí)記錄一個(gè)跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息。（3）外部網(wǎng)絡(luò)發(fā)送回答信息給。（4）將所收到的數(shù)據(jù)包的端口號和公用地址轉(zhuǎn)換為客戶機(jī)的端口號和內(nèi)部網(wǎng)絡(luò)使用的專用地址并轉(zhuǎn)發(fā)給客戶機(jī)。15.315.3.1的基本知識的工作過程示意圖：15.315.3.1的基本知識的分類：（1）源（，）。指修改第一個(gè)包的源地址。會在包送出之前的最后一刻做好的動(dòng)作。中的偽裝（）就是的一種特殊形式。（2）目的（，）。是指修改第一個(gè)包的目的地址?？偸窃诎M(jìn)入后立刻進(jìn)行動(dòng)作。端口轉(zhuǎn)發(fā)、負(fù)載均衡和透明代理均屬于。15.315.3.2使用實(shí)現(xiàn)用戶根據(jù)規(guī)則所處理的信息包類型，使用命令設(shè)置規(guī)則：要做源地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到鏈中。要做目的地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到鏈中。直接從本地出去的數(shù)據(jù)包的規(guī)則被添加到鏈中。15.315.3.2使用實(shí)現(xiàn)數(shù)據(jù)包穿越的工作流程示意圖：15.315.3.2使用實(shí)現(xiàn)【例15-10】假設(shè)某企業(yè)網(wǎng)中服務(wù)器安裝了雙網(wǎng)卡，0連接外網(wǎng)，1連接內(nèi)網(wǎng)，地址為192.168.0.1。企業(yè)內(nèi)部網(wǎng)絡(luò)的客戶機(jī)都只有私有地址。利用服務(wù)使企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)能夠連接網(wǎng)絡(luò)。15.315.3.2使用實(shí)現(xiàn)假設(shè)0的地址是靜態(tài)分配的。公網(wǎng)地址池為222.206.160.100-222.206.160.150。此時(shí)應(yīng)作，命令的參數(shù)的語法格式為：1[2]:[1][2]]配置步驟：打開的內(nèi)核轉(zhuǎn)發(fā)功能。[~]#“1”>4實(shí)現(xiàn)。[~]#–t–A–p–o0–j222.206.160.100-222.206.160.150:1025:3000015.315.3.2使用實(shí)現(xiàn)假設(shè)連接外網(wǎng)的接口是利用撥號連接的0。此時(shí)應(yīng)作偽裝，命令的參數(shù)的語法格式為：

配置步驟：打開的內(nèi)核轉(zhuǎn)發(fā)功能。[~]#“1”>4實(shí)現(xiàn)偽裝。[~]#–t–A–o015.315.3.2使用實(shí)現(xiàn)【例15-11】假設(shè)某企業(yè)網(wǎng)中服務(wù)器安裝了雙網(wǎng)卡，0連接外網(wǎng)，地址為222.206.160.100。1連接內(nèi)網(wǎng)，地址為192.168.0.1。企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器的地址為192.168.1.2。要求當(dāng)網(wǎng)絡(luò)中的用戶在瀏覽器中輸入222.206.160.100時(shí)可以訪問到內(nèi)網(wǎng)的服務(wù)器。15.315.3.2使用實(shí)現(xiàn)根據(jù)題目要求可知，此時(shí)應(yīng)作。命令的參數(shù)的語法格式為：1[2]:[1][2]]實(shí)現(xiàn)的配置語句：#–t–A–p–d222.206.160.10080–j192.168.1.2:80或者：#–t–A–p–i080–j192.168.1.2:8015.4代理服務(wù)器15.4.1代理服務(wù)器的工作原理15.4代理服務(wù)器15.4.1代理服務(wù)器的工作原理15.4代理服務(wù)器15.4.2代理服務(wù)器的作用（1）提高訪問速度。（2）用戶訪問限制。（3）安全性得到提高。15.4代理服務(wù)器15.4.3安裝、啟動(dòng)與停止服務(wù)15.4代理服務(wù)器15.4.3安裝、啟動(dòng)與停止服務(wù)15.4代理服務(wù)器15.4.3安裝、啟動(dòng)與停止服務(wù)15.4代理服務(wù)器15.4.3安裝、啟動(dòng)與停止服務(wù)15.4代理服務(wù)器15.4.4配置服務(wù)器1．幾個(gè)常用的選項(xiàng)（1）3128。192.168.2.254:8080（2）512。內(nèi)存緩沖設(shè)置是指需要使用多少內(nèi)存來作為高速緩存。（3）409616256。用于指定硬盤緩沖區(qū)的大小。（4）。設(shè)置使用緩存的有效用戶。

（5）。設(shè)置使用緩存的有效用戶組，默認(rèn)為組，也可更改。15.4代理服務(wù)器15.4.4配置服務(wù)器1．幾個(gè)常用的選項(xiàng)（6）220.206.160.100。設(shè)置有效的服務(wù)器的地址。（7）。設(shè)置訪問記錄的日志文件。（8）。設(shè)置緩存日志文件。該文件記錄緩存的相關(guān)信息。（9）。設(shè)置網(wǎng)頁緩存日志文件。網(wǎng)頁緩存日志記錄了緩存中存儲對象的相關(guān)信息，例如存儲對象的大小、存儲時(shí)間、過期時(shí)間等。15.4代理服務(wù)器15.4.4配置服務(wù)器1．幾個(gè)常用的選項(xiàng)（10）192.168.0.3。字段用來幫助得知當(dāng)前的主機(jī)名，如果不設(shè)置此項(xiàng)，在啟動(dòng)的時(shí)候就會碰到“：．‘’”這樣的提示。當(dāng)訪問發(fā)生錯(cuò)誤時(shí)，該選項(xiàng)的值會出現(xiàn)在客戶端錯(cuò)誤提示網(wǎng)頁中。（11）。設(shè)置管理員的郵件地址。當(dāng)客戶端出現(xiàn)錯(cuò)誤時(shí)，該郵件地址會出現(xiàn)在網(wǎng)頁提示中，這樣用戶就可以寫信給管理員來告知發(fā)生的事情。15.4代理服務(wù)器15.4.4配置服務(wù)器2．設(shè)置訪問控制列表15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.5配置透明代理15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.6服務(wù)器配置實(shí)例15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器15.4代理服務(wù)器15.4.4配置服務(wù)器總結(jié)本項(xiàng)目的解決方案:1.清空所有的鏈規(guī)則[~]#2.禁止防火墻轉(zhuǎn)發(fā)任何數(shù)據(jù)包[~]#3.建立來自網(wǎng)絡(luò)的數(shù)據(jù)包的過濾規(guī)則#–p–d222.206.100.2–p800#–p–d222.206.100.3530#–p–d222.206.100.4250#–p–d222.206.100.411004.接受來自內(nèi)網(wǎng)的數(shù)據(jù)包通過[~]#–s222.206.100.0/24–j5.對于所有的數(shù)據(jù)包進(jìn)行限制，允許每秒通過一個(gè)數(shù)據(jù)包，該限制的觸發(fā)條件是10個(gè)包[~]#110作業(yè)1根據(jù)如下防火墻配置的需求,寫出配置命令:設(shè)置表中3個(gè)鏈的默認(rèn)策略為拒絕查看所有鏈的規(guī)則列表添加一個(gè)用戶自定義的鏈1向表的鏈的最后添加一條規(guī)則，對來自192.168.1.10這臺主機(jī)的數(shù)據(jù)包丟棄向表中的鏈的第3條規(guī)則前面插入一條規(guī)則，允許來自于非192.168.3.0/24網(wǎng)段的主機(jī)對本機(jī)的25端口的訪問作業(yè)2計(jì)劃在他的局域網(wǎng)建立防火墻，防止直接進(jìn)入局域網(wǎng)，反之亦然。在防火墻上他不能用包過濾或程序.而且他想要提供給局