1、第16章 代理服務(wù)及防火墻,課時(shí)數(shù)：2課時(shí),Linux,教師自我介紹,教師姓名： (請(qǐng)進(jìn)行自我介紹 ),字體黑體、字號(hào)24、色白,字體華文中宋、字號(hào)根據(jù)內(nèi)容20-32均可、色黑,本章目標(biāo),了解防火墻和代理服務(wù)器的基本概念 掌握Linux系統(tǒng)中的防火墻管理 掌握squid代理服務(wù)器管理,應(yīng)用層代理,應(yīng)用層代理的基本概念 應(yīng)用層代理針對(duì)特定的網(wǎng)絡(luò)協(xié)議提供代理服務(wù) HTTP代理和FTP代理是應(yīng)用層代理的典型應(yīng)用 使用代理服務(wù)器可以解決的問(wèn)題 局域網(wǎng)中的所有主機(jī)都可以通過(guò)同局域網(wǎng)中具有互聯(lián)網(wǎng)訪問(wèn)能力的代理服務(wù)器主機(jī)進(jìn)行外部網(wǎng)絡(luò)的訪問(wèn) 代理服務(wù)器對(duì)已經(jīng)訪問(wèn)過(guò)的內(nèi)容提供緩存，可有效的減少對(duì)外部網(wǎng)絡(luò)的訪問(wèn)流

2、量，并能夠提高頻繁訪問(wèn)的頁(yè)面的訪問(wèn)效率 通過(guò)代理服務(wù)器可以進(jìn)行一定程度的訪問(wèn)控制，可以對(duì)客戶端和被訪問(wèn)頁(yè)面進(jìn)行控制,代理服務(wù)的應(yīng)用原理,代理服務(wù)器工作在TCP/IP的應(yīng)用層,網(wǎng)絡(luò)層防火墻,網(wǎng)絡(luò)防火墻軟件的主要功能 對(duì)進(jìn)入和流出的IP數(shù)據(jù)包進(jìn)行過(guò)濾，屏蔽不符合要求的數(shù)據(jù)包，保證內(nèi)部網(wǎng)絡(luò)的安全 提供數(shù)據(jù)包的路由選擇，實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），從而解決局域網(wǎng)中主機(jī)使用內(nèi)部IP地址也能夠順利訪問(wèn)外部網(wǎng)絡(luò)的應(yīng)用需求 防火墻的類型 硬件防火墻是功能專一的硬件設(shè)備，價(jià)格昂貴 軟件防火墻的功能是由計(jì)算機(jī)中的軟件實(shí)現(xiàn)的，具有相當(dāng)大的價(jià)格優(yōu)勢(shì),網(wǎng)絡(luò)層防火墻的應(yīng)用原理,網(wǎng)絡(luò)防火墻工作在TCP/IP的網(wǎng)絡(luò)層,Lin

3、ux中代理服務(wù)和防火墻的實(shí)現(xiàn),Linux中使用軟件實(shí)現(xiàn)代理和防火墻功能 使用netfilter/iptables架構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)防火墻的基本功能 使用squid服務(wù)器軟件實(shí)現(xiàn)HTTP服務(wù)的代理功能,Linux防火墻軟件的發(fā)展與實(shí)現(xiàn),Linux中的防火強(qiáng)功能是由內(nèi)核實(shí)現(xiàn)的 在2.0內(nèi)核中，網(wǎng)絡(luò)防火墻的操作工具名稱是ipfwadm 在2.2內(nèi)核中，網(wǎng)絡(luò)防火墻的操作工具名稱是ipchains 在2.4之后的內(nèi)核中，網(wǎng)絡(luò)防火墻的操作工具名稱是iptables netfilter與iptables 在Linux的內(nèi)核中使用netfilter架構(gòu)實(shí)現(xiàn)防火墻功能 iptables是Linux系統(tǒng)中為用戶提供的n

4、etfilter管理工具，用于實(shí)現(xiàn)對(duì)Linux內(nèi)核中網(wǎng)絡(luò)防火墻的管理,iptables規(guī)則鏈,iptables缺省具有5條規(guī)則鏈,iptables規(guī)則表,iptables缺省具有3個(gè)規(guī)則表 Filter：用于設(shè)置包過(guò)濾 NAT：用于設(shè)置地址轉(zhuǎn)換 Mangle：用于設(shè)置網(wǎng)絡(luò)流量整形等應(yīng)用 不同的規(guī)則表由不同的規(guī)則鏈組成 Filter：INPUT、FORWARD、OUTPUT NAT：PREROUTING、POSTROUTING、OUTPUT Mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD,netfilter/iptables的典型應(yīng)用,net

5、filter/iptables的典型應(yīng)用 作為主機(jī)防火墻實(shí)現(xiàn)外部網(wǎng)絡(luò)與主機(jī)之間的訪問(wèn)控制 作為網(wǎng)絡(luò)防火墻提供外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的訪問(wèn)控制 作為網(wǎng)關(guān)服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)通過(guò)網(wǎng)關(guān)主機(jī)共享訪問(wèn)外部網(wǎng)絡(luò) netfilter/iptables可以在Linux系統(tǒng)中實(shí)現(xiàn)網(wǎng)絡(luò)防火墻的各種常用功能,iptables的軟件包組成,RHEL5中的iptables軟件包 # rpm -q iptables iptables-1.2.11-3.1.RHEL5 iptables軟件包中的管理命令 iptables是主要的管理命令，對(duì)網(wǎng)絡(luò)防火墻功能的管理都是通過(guò)iptables命令實(shí)現(xiàn)的 i

6、ptables-save命令可以將當(dāng)前系統(tǒng)中的防火墻設(shè)置進(jìn)行保存 iptables-restore命令可以將使用iptables-save命令保存的防火墻策略配置恢復(fù)到當(dāng)前系統(tǒng)中,iptables服務(wù)的啟動(dòng)與停止,iptables服務(wù)啟動(dòng)腳本 /etc/rc.d/init.d/iptables iptables配置文件與策略設(shè)置文件 iptables配置文件 /etc/sysconfig/iptables-config 策略設(shè)置文件 /etc/sysconfig/iptables iptables服務(wù)的啟動(dòng)與停止 iptables服務(wù)缺省自動(dòng)啟動(dòng) 可通過(guò)啟動(dòng)腳本手工啟動(dòng)和停止iptables服

7、務(wù) # service iptables start,查看防火墻的基本狀態(tài),查詢防火墻的狀態(tài) 使用iptables命令查詢防火墻狀態(tài) # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination,使用iptables命令進(jìn)行策略設(shè)置,iptables

8、命令是對(duì)防火墻配置管理的核心命令 iptables命令提供了豐富的功能，可以對(duì)Linux內(nèi)核中的netfilter防火墻進(jìn)行各種策略的設(shè)置 iptables命令的設(shè)置在系統(tǒng)中是即時(shí)生效的 使用iptables命令手工進(jìn)行的防火墻策略設(shè)置如果不進(jìn)行保存將在系統(tǒng)下次啟動(dòng)時(shí)丟失,使用iptables-save命令保存設(shè)置,iptables-save命令提供了防火墻配置的保存功能 iptables-save命令缺省只將配置信息顯示到標(biāo)準(zhǔn)輸出（屏幕）中 # iptables-save 如果需要將iptables-save命令的輸出保存，需要將命令輸出結(jié)果重定向到指定的文件中 # iptables-sav

9、e ipt.v1.0 使用iptables-save命令可以將多個(gè)版本的配置保存到不同的文件中,使用iptables-restore命令恢復(fù)設(shè)置,iptables-restore命令可恢復(fù)防火墻設(shè)置 iptables-restore命令可恢復(fù)使用iptables-save命令保存的防火墻設(shè)置內(nèi)容 iptables-restore命令從標(biāo)準(zhǔn)輸入或輸入重定向文件中獲取防火墻的設(shè)置內(nèi)容 # iptables-restore ipt.v1.0 iptables-restore命令可快速恢復(fù)指定版本的防火墻配置,使用iptables腳本保存防火墻設(shè)置,iptables腳本可以保存當(dāng)前防火墻配置 在保存防

10、火墻當(dāng)前配置前應(yīng)先將原有配置進(jìn)行備份 # cp /etc/sysconfig/iptables iptables.raw iptables腳本的save命令可以保存防火墻配置 # service iptables save 配置內(nèi)容將保存在“/etc/sysconfig/iptables”文件中，文件原有的內(nèi)容將被覆蓋,使用防火墻的配置工具,RHEL5中提供了防火墻配置程序 運(yùn)行防火墻配置工具 # system-config-securitylevel-tui 在防火墻配置工具設(shè)置后會(huì)即時(shí)生效，并將設(shè)置保存到“/etc/sysconfig/iptables”文件中,iptables命令的使用6

11、-1,iptables命令的操作對(duì)象包括 規(guī)則表（table）由規(guī)則鏈的集合組成，不同的規(guī)則表用于實(shí)現(xiàn)不同類型的功能 規(guī)則鏈（chain）由規(guī)則的集合組成，保存在規(guī)則表中；在規(guī)則表中不同的規(guī)則鏈代表了不同的數(shù)據(jù)包流向 規(guī)則（rule）是最基本的設(shè)置項(xiàng)，用于對(duì)防火墻的策略進(jìn)行設(shè)置；流經(jīng)某個(gè)數(shù)據(jù)鏈的數(shù)據(jù)將按照先后順序經(jīng)過(guò)規(guī)則的“過(guò)濾”,iptables命令的使用6-2,iptables中缺省包括3個(gè)規(guī)則表 filter nat mangle iptables命令可查看規(guī)則表的內(nèi)容 基本語(yǔ)法 iptables -t table -L chain options 不指定表名稱時(shí)查看filter表的內(nèi)容

12、 # iptables -L 查看指定的規(guī)則表 # iptables -t nat -L,iptables命令的使用6-3,清空表中的規(guī)則 命令格式： iptables -t table -F chain options 清空f(shuō)ilter表中的所有規(guī)則 # iptables -F 清空nat表中的所有規(guī)則 # iptables -t nat -F 刪除表中的自定義規(guī)則鏈 命令格式： iptables -t table -X chain,iptables命令的使用6-4,添加規(guī)則 命令格式 iptables -t table -A chain rule-specification options

13、 在INPUT規(guī)則鏈中添加規(guī)則，允許來(lái)自“l(fā)o”網(wǎng)絡(luò)接口中所有數(shù)據(jù)包 # iptables -A INPUT -i lo -j ACCEPT 在INPUT規(guī)則鏈中添加規(guī)則，允許“eth0”網(wǎng)絡(luò)接口中來(lái)自“/24”子網(wǎng)的所有數(shù)據(jù)包 # iptables -A INPUT -i eth0 -s /24 -j ACCEPT,iptables命令的使用6-5,刪除規(guī)則 命令格式 iptables -t table -D chain rule-specification options 刪除規(guī)則的iptables命令與添加規(guī)則的命令格式類似 刪除INPUT規(guī)則

14、表中已有的規(guī)則 # iptables -D INPUT -i eth0 -s /24 -j ACCEPT,iptables命令的使用6-6,設(shè)置內(nèi)置規(guī)則鏈的缺省策略 命令格式 iptables -t table -P chain target options 只有內(nèi)建規(guī)則鏈才能夠設(shè)置“缺省策略” 將INPUT規(guī)則鏈的缺省策略設(shè)置為“DROP” # iptables -P INPUT DROP 將規(guī)則鏈的缺省策略的缺省策略設(shè)置為“DROP”，然后在逐個(gè)添加允許通過(guò)的規(guī)則是比較嚴(yán)謹(jǐn)?shù)囊?guī)則設(shè)置方法,防火墻配置實(shí)例2-1,設(shè)置主機(jī)防火墻策略 使用iptables命令設(shè)置防火墻策略

15、 # iptables -F # iptables -X # iptables -Z # iptables -P INPUT DROP # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 22 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 80 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 3128 -j ACCEPT # service iptables save,清除fil

16、ter規(guī)則表中的所有規(guī)則,清除filter規(guī)則表中的自定義規(guī)則鏈,清除filter規(guī)則表的計(jì)數(shù),設(shè)置filter表中INPUT規(guī)則鏈的缺省策略為DROP,在INPUT規(guī)則鏈中添加規(guī)則允許來(lái)自eth0網(wǎng)絡(luò)接口的SSH、WWW和SQUID類型的數(shù)據(jù)包,保存當(dāng)前防火墻設(shè)置到文件中,在INPUT規(guī)則鏈中添加規(guī)則允許來(lái)自lo網(wǎng)絡(luò)接口的所有數(shù)據(jù)包,防火墻配置實(shí)例2-2,設(shè)置Linux作為網(wǎng)關(guān)服務(wù)器 配置需求 服務(wù)器網(wǎng)接口eth0的IP地址為“/24”，eth0網(wǎng)絡(luò)接口與公司的內(nèi)部網(wǎng)絡(luò)相連 服務(wù)器的網(wǎng)絡(luò)接口ppp0是主機(jī)的撥號(hào)網(wǎng)絡(luò)接口，具有公網(wǎng)IP地址 局域網(wǎng)中的所有主機(jī)都需要通過(guò)Li

17、nux網(wǎng)關(guān)服務(wù)器與外部互聯(lián)網(wǎng)進(jìn)行通信 關(guān)鍵配置命令 # iptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE,“-t nat -A POSTROUTING ”表示在nat表的POSTROUTING規(guī)則鏈中添加規(guī)則,“-s /24”表示數(shù)據(jù)包的源地址為“/24”子網(wǎng),“-o ppp0”表示數(shù)據(jù)包的流出網(wǎng)絡(luò)接口是“ppp0”，“ppp0”網(wǎng)絡(luò)接口具有公網(wǎng)IP地址,“-j MASQUERADE”表示對(duì)數(shù)據(jù)包進(jìn)行的處理，即將符合條件的數(shù)據(jù)包進(jìn)行IP偽裝,階段總結(jié),代理服務(wù)

18、器和網(wǎng)絡(luò)防火墻工作在不同的協(xié)議層 在Linux系統(tǒng)中內(nèi)核提供包過(guò)濾防火墻功能，使用squid服務(wù)器實(shí)現(xiàn)代理服務(wù)器功能 netfilter是Linux內(nèi)核中的包過(guò)濾框架，iptables是對(duì)netfilter的管理工具 使用iptables可設(shè)置Linux系統(tǒng)實(shí)現(xiàn)各種常用的網(wǎng)絡(luò)防火墻功能,階段練習(xí),查看Linux系統(tǒng)中iptables軟件包中包括的文件，并查詢iptables服務(wù)的啟動(dòng)狀態(tài) 使用iptables命令查看filter規(guī)則表的設(shè)置內(nèi)容,squid服務(wù)器的功能,squid服務(wù)具有以下基本功能 提供對(duì)HTTP和FTP協(xié)議的代理服務(wù) 緩存代理的內(nèi)容，提高客戶端訪問(wèn)網(wǎng)站的速度，并能夠節(jié)約出口

19、網(wǎng)絡(luò)流量 對(duì)客戶端地址進(jìn)行訪問(wèn)控制，限制允許訪問(wèn)squid服務(wù)器的客戶機(jī) 對(duì)目標(biāo)地址進(jìn)行訪問(wèn)控制，限制客戶端允許訪問(wèn)的網(wǎng)站 根據(jù)時(shí)間進(jìn)行訪問(wèn)控制，限定客戶端可以使用代理服務(wù)的時(shí)間,squid服務(wù)器的代理工作機(jī)制,squid服務(wù)器具有代理和緩存的基本功能,數(shù)據(jù)緩存,代理進(jìn)程,遠(yuǎn)端服務(wù)器,客戶端,squid服務(wù)器的安裝,squid服務(wù)器在RHEL5系統(tǒng)中已經(jīng)默認(rèn)安裝 # rpm -q squid squid-2.5.STABLE6-3 squid服務(wù)的啟動(dòng)狀態(tài) squid服務(wù)程序在RHEL5中默認(rèn)不自動(dòng)啟動(dòng) 需要用chkconfig命令設(shè)置squid服務(wù)在運(yùn)行級(jí)別3和5中自動(dòng)啟動(dòng) # chkcon

20、fig -level 35 squid on,squid服務(wù)啟動(dòng)前的準(zhǔn)備,確認(rèn)主機(jī)具有完整的域名 squid服務(wù)運(yùn)行需要Linux主機(jī)具有完整的域名 # grep hostname /etc/hosts squid服務(wù)器的初始化 在第一次使用squid服務(wù)器之前需要先對(duì)squid服務(wù)器進(jìn)行初始化工作 # squid -z 初始的主要作用是在squid服務(wù)器的工作目錄中建立需要的子目錄 # ls /var/spool/squid/ 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F,squid服務(wù)的啟動(dòng)與停止,啟動(dòng)腳本 squid服務(wù)的啟動(dòng)腳本名稱是“

21、squid” /etc/init.d/squid 啟動(dòng)與停止squid服務(wù) 啟動(dòng)squid服務(wù) # service squid start 停止squid服務(wù) # service squid stop 服務(wù)端口 squid服務(wù)器的缺省服務(wù)端口為3128,squid服務(wù)的配置文件3-1,配置目錄 squid具有獨(dú)立的目錄保存配置文件 /etc/squid/ 主配置文件 主配置文件squid.conf保存在配置目錄中 /etc/squid/squid.conf squid.conf文件中的配置選項(xiàng) 配置服務(wù)端口 http_port 3128,squid服務(wù)的配置文件3-2,squid.conf文件

22、中的配置選項(xiàng) 緩沖內(nèi)存數(shù)量 cache_mem 8 MB “cache_mem”的值設(shè)置為服務(wù)器物理內(nèi)存的三分之一比較合適 工作目錄 cache_dir ufs /var/spool/squid 100 16 256 “cache_dir”設(shè)置項(xiàng)的缺省值為設(shè)置“/var/spool/squid”作為squid的工作路徑，“100 16 256”分別表示，目錄中最大的容量是100MB，目錄中的一級(jí)子目錄的數(shù)量為16個(gè)，二級(jí)子目錄為“256”個(gè),squid服務(wù)的配置文件3-3,squid.conf文件中的配置選項(xiàng) 訪問(wèn)控制設(shè)置 “http_access”用于設(shè)置允許或拒絕訪問(wèn)控制對(duì)象 http_a

23、ccess allow localhost http_access deny all 訪問(wèn)控制列表（ACL）的定義 “acl”配置項(xiàng)用于設(shè)置訪問(wèn)控制列表的內(nèi)容 acl all src / acl localhost src /55 重新啟動(dòng)squid服務(wù) 對(duì)squid.conf文件修改后需要重新啟動(dòng)服務(wù)程序 # service squid restart,配置透明代理服務(wù)器,配置squid服務(wù)器 修改squid.conf配置文件中的設(shè)置 # vi /etc/squid/squid.conf /在配置文件中添加以下的配置行 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_pr