Iptables防火墙配置与管理.pptVIP

课题引入——项目背景 假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网，IP地址为00；eth1接口连接内网，IP地址为。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此3台服务器。 课题引入——项目分析 完成本项目需要解决的问题： 1、什么是防火墙,其工作原理是什么 2、如何使用Iptables进行防火墙设置 3、如何配置包过滤防火墙 4、如何实现NAT 课题引入——教学目标 学习本课需要实现的教学目标： 掌握防火墙的概念和工作原理 掌握Iptables的结构和配置方法 掌握包过滤防火墙的配置方法 掌握NAT的配置方法 课题引入——应达到的职业能力 学生学习本课后应该具有的职业能力： 掌握为企业设计防火墙的能力 掌握Linux下Iptables的配置方法 掌握包过滤防火墙的配置能力 掌握NAT的配置能力 具有较好的团队合作能力 项目问题一 防火墙的工作原理 防火墙是一种非常重要的网络安全工具，利用防火墙可以保护企业内部网络免受外网的威胁，作为网络管理员，掌握防火墙的安装与配置非常重要。 防火墙分成2种: 代理服务器型防火墙 包过滤型防火墙 包过滤型防火墙 包过滤型防火墙内置于Linux系统的内核，在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所有的协议、端口号等因素，来决定是否允许该数据包通过。如图所示是包过滤型防火墙常用的一种模式，主要用来阻隔来自外网对内部网络的威胁。 代理服务器型防火墙 代理服务器型防火墙是应用网关型防火墙，通常工作在应用层。代理服务器实际上是运行在防火墙上的一种服务器程序。服务器监听客户机的请求，如申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时，客户端首先连接代理服务器，然后再由代理服务器与外网真实的服务器建立连接，取得客户想要的信息，代理服务器再把信息返回给客户。 包过滤型防火墙工作原理 包过滤型防火墙的工作过程： （1）数据包从外网传送给防火墙后，防火墙在IP层向TCP层传输数据前，将数据包转发给包检查模块进行处理。 （2）首先与第一条过滤规则进行比较。 （3）如果与第一条规则匹配，则进行审核，判断是否允许传输该数据包，如果允许则传输，否则查看该规则是否阻止该数据包通过，如果阻止则将该数据包丢弃。 （4）如果与第一条过滤规则不同，则查看是否还有下一条规则。如果有，则与下一条规则匹配，如果匹配成功，则进行与（3）相同的审核过程。 （5）依此类推，一条一条规则匹配，直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配，则采用防火墙的默认访问控制策略策略（丢掉该数据包，或允许该数据包通过）。 包过滤型防火墙工作原理 项目问题二 Netfilter/iptables架构 从1.1内核开始，Linux下的包过滤系统经历了3个阶段： 在2.0内核中，采用ipfwadm来操作内核包过滤规则。 在2.2内核中，采用ipchains来控制内核包过滤规则。 在2.4内核中，采用了一个全新的内核包过滤管理工具――iptables。 Netfilter/iptables最早是与2.4内核版本的Linux系统集成的IP信息 包过滤系统。它由Netfilter和iptables两个组件组成。 Netfilter/iptables架构 Netfilter组件称为内核空间，它集成在Linux的内核中。 主要由信息包过滤表（tables）组成，而表由若干个链组 成，每条链中可以由一条或者多条规则组成。总的来说， Netfilter是表的容器，表是链的容器，而链又是规则的容器。 Netfilter/iptables架构 （1）规则。规则存储在内核的包过滤表中，分别指定了源、目的IP地址、传输协议、服务类型等。当数据包与规则匹配时，就根据规则所定义的方法来处理数据包，如放行、丢弃等动作。 （2）链。链是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当数据包到达一条链时，会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件，如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则将继续检查下一条规则。如果该数据包不符合链中任一条规则，会根据该链预先定义的默认策略处理数据包。 Netfilter/iptables架构 （3）表。Netfilter中内置有3张表：filter表，nat表和mangle表。其中filter表用于实现数据包的过滤、nat表