第十章防火墙服务器搭建与应用1.pptVIP

第10章防火墙服务器搭建与应用 一、教学目标与要求。 网络建立初期，人们只考虑如何实现通信而忽略了网络安全。而防火墙可以使企业内部局域网与internet之间或者与其他外部网络互相隔离，限制网络互访来保护内部网络。 随着信息技术的飞速发展，信息网络已成为社会发展的重要保证，给政府结构、企事业单位的信息交流与共享带来了革命性的发展。通过信息网络可以实现信息的储存、传输和处理，大大提高了效率。但同时又要面对信息网络开放带来的数据安全的新挑战和新危机，其中有很多敏感信息，甚至是国家机密，难免会吸引来自世界各地不怀好意的人对它进行攻击。因此，引进了防火墙技术。本章将详细介绍防火墙的基本概念、Linux下的iptables及防火墙的设置。 通过本章的学习，读者应该掌握以下内容： 了解防火墙的作用； 了解iptables； 掌握设置防火墙。 二、教学重点与难点。 在不同的环境下能设置不同的防火墙 10. 1 防火墙概述 10.1.1 防火墙简介 （1）双向流通信息必须经过它 （2）只有符合安全策略授权的信息流才会被允许通过 （3）系统本身具有很高的抗攻击性能 防火墙可以实现的功能如下： （1）提供网络安全的屏障： （2）强化网络安全策略： （3）监控审计网络的存取和访问： （4）防止内部信息的外泄： 10. 1 防火墙概述 10.1.2 防火墙的分类 1．包过滤防火墙 2．应用网关防火墙 3．代理服务器防火墙 10. 2 iptables 介绍 10.1.2 防火墙的分类 1．包过滤防火墙 2．应用网关防火墙 3．代理服务器防火墙 10.2.1 netfilter/iptables 组件 1．netfilter 2．Iptables 10.2.2 iptables 组成结构 1．表（table） （1）filter （2）nat 2．规则和链 1）规则 2）链 10. 2 iptables 介绍 10.2.3 Iptable工作流程 10.2.4 NAT工作原理 10. 3 安装iptables 10.3.1 iptables的安装 10.3.2 iptables的启动与停止 1．iptables服务的启动 2．iptables服务的停止 3．iptables服务的重新启动 10. 3 安装iptables 4．自动加载iptables服务 [root@zhou ~]# chkconfig – level 3 iptables on #运行级别3自动加载 [root@zhou ~]# chkconfig – level 3 iptables off #运行级别3自动不加载 也可以使用ntsysv命令，利用文本图形对iptables自动加载进行配置，如图所示。 10. 4 iptables命令 10.4.1 iptables基本语法 iptables [-t 表] -命令 -匹配 -j 动作/目标 1．表选项 2．命令选项 10. 4 iptables命令 【例10.1】-P或--policy 作用：定义默认的策略，所有不符合规则的包都被强制使用这个策略。 Iptables –t filter –P INPUT DROP 说明： 只有内建的链才可以使用规则。 【例10.2】-A或--append 作用：在所选择的链的最后添加一条规则。 Iptables –A OUTPUT --sport 22 DROP 【例10.3】-D或—delete 作用：从所选链中删除规则。 Iptables –D OUTPUT 10. 4 iptables命令 3．匹配选项 10. 4 iptables命令 【例10.4】-p或—protocol 作用：匹配指定的协议。 Iptables –A INPUT –p udp –j DROP 【例10.5】-sport或—source-port 作用：基于TCP包的源端口来匹配，也就是说通过检测数据包的源端口是不是指定的来判断数据包的去留。 iptables –A INPUT –sport 80 j ACCEPT 【例10.6】-s或—src或-source 作用：以IP地址匹配包。 iptables –A INPUT –s –j DROP 10. 4 iptables命令 4．动作选项 （1）ACCEPT （2）DROP （3）REJECT （4）SNAT （5）DNAT （6）LOG （7）MASQUERADE 10. 5 防火墙的配置 10.5.1 设置默认策略 定义默认策略的格式如下： Iptables [-t 表名] –P 链名 动作 【例10.7】将filter表中INPUT链的默认策略定义为DROP（丢弃数据包） [root@zhou ~]# ipta