Linux网络操作系统 教学课件 作者 赵军 刘猛 项目十Linux的防火墙与代理.pptVIP

项目十 Linux的防火墙与代理 项目十 Linux的防火墙与代理 任务1 防火墙的启动和关闭 任务2 防火墙控制实例 任务3 架设代理服务器 任务1 防火墙的启动和关闭 防火墙技术是建立在现代信息网络基础上的安全技术，常用于专用网络与公用网络的互联环境中。防火墙是在内部网络与外部网络之间实施安全防范的系统，其主要功能在于保护可信网络免受非可信网络威胁的同时，允许内、外网络间的合理通信，大部分的防火墙被用于Internet与内部网之间。 防火墙技术根据防范方式和侧重点的不同分为多种类型，有的以软件形式运行在计算机上，有的以硬件形式设计在网络设备中，大概可分为以下几种：包过滤防火墙、应用网关防火墙和代理服务器防火墙。 任务1 防火墙的启动和关闭 Linux系统的防火墙是在iptables服务下设定的，iptables是与2.4.X和2.6.X系列版本Linux内核集成的IP信息包过滤系统，包括netfilter和iptables两个组件。netfilter也称为内核空间，集成在内核中，主要由一些信息包过滤表组成，这些表中包含控制信息包过滤处理的规则，而这些规则被分组放在链（chain）中，使内核根据源地址、目的地址或具有某些协议类型的信息包的相应处理规则，完成信息包的处理、控制和过滤等操作；iptables也被称为用户空间，用户可以用它来添加、编辑和删除信息包过滤表中的规则，这些规则就是netfilter组件处理信息包的依据。通过使用iptables，用户可以自己定制各种安全策略实现对防火墙和信息包过滤的控制。 任务1 防火墙的启动和关闭 步骤1．图形界面操作方法。 点击【系统】→【管理】→【防火墙】，弹出【防火墙设置】对话框，如图所示 步骤2．点击【防火墙设置】对话框工具栏上的“启用”或“禁用”图标，即可启动或关闭防火墙。 任务1 防火墙的启动和关闭 启动终端，并切换到root帐号，输入以下命令可完成相应的操作。 步骤3．防火墙的启动与关闭。 启动防火墙：#service iptables start 关闭防火墙：#service iptables stop 步骤4．防火墙的重新启动。 #service iptables restart 步骤5．防火墙的状态检测。 #service iptables status 任务1 防火墙的启动和关闭 如果希望系统启动时自动加载防火墙，可在终端中输入ntsysv命令，利用文本图形对iptables自动加载进行配置，如图所示。 任务2 防火墙控制实例 1、iptables的组成结构 iptables防火墙由多个“表”组成，每个表由若干个“链”组成，而每条链中由若干条“规则”组成。换句话说，防火墙是表的容器，表是链的容器，而链又是规则的容器。默认情况下，iptables至少有三个表，包括管理包过滤的filter表、管理网络地址转换的nat表和进行包重构的mangle表（较少使用）。 任务2 防火墙控制实例 2、链和规则 链是数据包的传播途径，每一条链是许多规则中的一个检查清单，每一条链中可以有若干条规则。当一个数据包到达一个链时，iptables就会从第一条规则开始检查数据包是否符合该规则所定义的条件。如果满足，iptables将根据该条规则所定义的方法处理该数据包；否则，将继续检查下一条规则。如果该数据包不符合该链中任何一条规则，那么iptables就会根据该链预先定义的策略来处理该数据包。 规则是网络管理员预先设定的条件，规则都这样定义“如果数据包头符合这样的条件，就这样处理这个数据包”。规则通常指定了源地址、目的地址、传输协议（tcp、udp、icmp）、服务类型（http、ftp、smtp）和对数据包的处理方法，处理方法一般有：放行（ACCEPT）、拒绝（REJECT）和丢弃（DROP）等。从而防火墙可以利用规则对来自某个源、到某个目的地或具有特定协议类型的数据包进行过滤。防火墙的配置工作也主要是增加、修改和删除这些规则，规则的建立可以使用iptables命令完成。 任务2 防火墙控制实例 3、iptables命令 iptables命令的基本格式如下： iptables [-t 表] 命令 [链] [匹配规则] [–j 动作/目标] 注意：括起来的为必选项，[ ]括起来的为可选项。iptables命令严格区分大小写。 任务2 防火墙控制实例 步骤1．禁止用户访问某些服务 禁止子网里所有的客户端使用Telnet协议（即封闭TCP协议的23端口），然后查看filter表的FORWARD链规则列表。在终端中输入如下命令： #iptables –I FORWARD –s /24 –p tcp –dport 23 –j DROP #iptables –t filt