- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Linux 网络管理 项目引入 在Internet网络世界漫游,随时都可能遭到各种恶意攻击,这些恶意攻击可能导致的后果是上网账号被窃取冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密文件丢失、隐私曝光等等,甚至黑客通过远程控制删除硬盘上所有的资料数据,使整个计算机系统架构全面崩溃。幸运的是,我们可以通过使用防火墙来降低这些风险。 防火墙旨在检查往来于 Internet 间的信息。对于连接到网络上的 Linux 系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。 “netfilter/iptables IP 信息包过滤系统”是集成到 Linux 内核的防火墙解决方案。Linux核心里的netfilter子系统除了完成的网络防火墙功能,还可以进行网络地址转换(NAT)、数据包(package)记录、流量统计等。iptables是用户操作netfilter的唯一工具接口。为叙述便利,以下叙述将不严格区分iptables与 netfilter。 项目环境 图是一种常见的网络环境拓扑图。本项目主要围绕主机—Linux 防火墙/路由器构建进行设计,本项目中在 “Linux 防火墙/路由器”主机安装3块网卡。一块网卡(Linux系统识别为eth0,IP地址为)连接网段为192.168.0的局域网(LAN);另一块网卡(系统识别为eth1,IP地址为66)连接网段为192.168.1的局域网;第3块网卡(系统识别为eth2,IP地址可以为公网地址,也可以是上层局域网地址,本项目采用一个假设公有地址8)连接Internet或上层局域网。 项?目?10 Linux防火墙实现——iptables 基本任务: 1)使用 iptables搭建简单防火墙; 2)使用ufw防火墙。 拓展任务: 1)构建一个更完善的防火墙; 2)网络地址转换(NAT); 3)iptables与Squid透明代理; 4)使用FireStarter防火墙。 任务1使用 iptables搭建简单防火墙 本任务主要构建能够完成访问外部资源,但不提供服务的Linux桌面型主机安全策略。对常见的网络环境中选取一部分并简化作为任务实验环境,如图所示,局域网环境是通过上层LAN而不是直接连接Internet,构造如此环境并不影响测试。 iptables是通过一些规则、策略构成的表对通过数据包进行处理。iptables的语法相当多,可以分为规则清除,定义策略,添加,插入、删除规则等几种。以下将依照搭建防火墙的过程(规则清除→定义策略→添加、插入、删除规则→保存规则)进行。 1.查看当前iptables信息 iptables內建三个表:filter、nat以及mangle,每个表都被预先设置了一或多个代表各拦截点的链,其中filter预设的三个INPUT、FORWARD、OUTPUT链。对iptables设置规则实质是对iptables表的链设置规则,更详细的参考后文归纳说明部分或其他资料。 在做进一步操作之前,我们先查看iptables表信息,初步了解iptables。 1)查看filter表信息。 使用“iptables –L”默认是查看表filter的链。在“Linux 防火墙/路由器”主机输入如下(如果没有特殊说明,以下都将在“Linux 防火墙/路由器”进行操作)。 2)查看nat表的规则。 从上看出Linux系统nat表有PREROUTING、POSTROUTING、OUTPUT链,默认策略对于任何包也都接受,并没有设置规则。 3)查看nat表的详细信息。 2.规则清除 一般设置iptables之前,首先要清除所有以前设置的规则。虽然很多情况下它什么也不做,但是保险起见,不妨小心一点吧。 3.定义策略 规则清除后,接下来就是对链定义策略,策略就是当链的规则都相符是数据包的默认动作。从上面查看表信息得知,iptables表的链没有设置规则,且对任何数据包的策略都是接受的。显然,这是一种过于宽松的防火墙。 1)定义策略之前检查网络连通性 2)定义filter表的INPUT链策略 首先,定义一个非常严格的策略。 student@ubuntu:~$ sudo iptables -P INPUT DROP // 设置Filter的INPUT链策略为丢弃所有包 INPUT链是处理那些进入Linux主机的数据包。上命令将会为构建一个非常“安全”的防火墙,很难有哪个黑客(hacker)能攻破这样的主机,因为它将所有从网络想进入你主机的数据丢弃(drop) 了。这当然是安全过头了,此时主机将相当于没有网络。 3)检测配置 如果ping ,就会发现屏幕一直停在那里,因为ping收不到任何回应,
您可能关注的文档
- JSP程序设计教程 向学哲 第08章 JSP与文件操作新.ppt
- JSP程序设计教程 向学哲 第09章 JSP与数据库新.ppt
- JSP程序设计教程 向学哲 第10章 JSP应用实例新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成 第1章 电子商城系统介绍新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成 第3章 JSP语法基础新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成 第6章 JavaBean技术新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成 第10章 框架应用新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成 第11章 电子商城安全与部署新.ppt
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成新 Unit01-课程概述和e_Buy电子商城系统设计新.PPT
- JSP程序设计实例教程 国家级精品课程配套教材 刘志成新 Unit02-Web技术概述新.PPT
- Linux网络配置与应用 陈建辉 第2章 Linux网络基本配置新.ppt
- Linux网络配置与应用 陈建辉 第4章 DHCP服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第5章 DNS服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第6章 Web服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第8章 FTP服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第9章 NFS服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第10章 代理服务器配置新.ppt
- Linux网络配置与应用 陈建辉 第11章 防火墙与NAT新.ppt
- Linux系统管理 董良 宁方明 2新.ppt
- Linux系统管理 董良 宁方明 3新.ppt
最近下载
- 湖南省名校联考联合体2025-2026学年高一上学期10月联考语文试卷含答案.pdf VIP
- 部分常用岩土物理力学参数经验数值.doc
- 中南大学网校马克思主义基本原理考试.doc VIP
- 浙江省精诚联盟2025-2026学年高一上学期10月联考生物试卷含答案.docx VIP
- 2025-2026学年广东省广州市第一中学高一上学期10月月考数学试卷含详解.docx VIP
- 抖音爸爸博主“新父职”的数字实践研究_.pdf VIP
- 演示文稿青春期生长发育.ppt VIP
- 2023年中南财经政法大学公共课《马克思主义基本原理概论》期末试卷B(有答案).docx VIP
- 2024-2025学年广东省珠海市文园中学九年级(下)开学物理试卷.docx VIP
- 保健品营销策划.pdf VIP
文档评论(0)