Linux网络服务培训课程.pptVIP

防火墙的功能：保障网络安全 实施安全策略 过滤传输数据 进行日志记录 网络地址转换 保护内部网络 作业： 了解网络地址转换（NAT，Network Address Translation）。 安装并试用一种个人防火墙产品。 防火墙的分类和基本原理 主要了解各种类型防火墙的工作原理和优缺点。 包过滤防火墙（Packet Filtering Firewall）： 对通过防火墙的每一个数据包，根据事先制定好的规则，对它的源地址、目的地址以及相应的端口来进行判断，把不合规则的数据包都过滤掉，只让符合规则的数据包通过。 作业： 了解UDP和RPC。 代理防火墙（Proxy Firewall）： 它的核心技术是代理服务器（Proxy Server）技术。 当代理服务器得到一个客户的连接意图时，它将核实客户请求，并经过特定的安全化代理应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理，最后将答复交给发出请求的客户。 状态监测防火墙（Stateful Inspecton Firewall）： 它是对包过滤防火墙的改进。 它建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。当接收到新的数据包时，防火墙首先根据规则表来判断是否允许这个数据包通过，如果不符合规则就立即丢弃，如果符合规则，再将当前的数据包和状态信息，与前一时刻的数据包和状态信息进行比较，然后根据比较结果决定是否能够通过。 作业： 了解WAIS和Archie。 使用防火墙需要注意： 防火墙对于病毒、木马程序并不有效； 防火墙对于来自内部的网络误用或滥用的抵挡性可能不足； 并不是设置防火墙之后，系统就一定很安全，还需要更新软件漏洞。 Linux的防火墙 Linux内核提供包过滤防火墙功能，设置防火墙主要使用iptables命令。 iptables管理多个表，表是包含处理特定类型数据包的策略与规则的集合。Linux默认包含三个表，包括管理本机的filter表，管理内部主机的nat表，管理特殊数据包的路由标记的mangle表。 每个表中包含的过滤策略和规则被分为若干类，称为规则链。例如，filter表默认包含有INPUT、OUTPUT、FORWARD三条链。 iptables命令的语法 一条iptables规则基本上应该包含5个要素： 表：是规则链的容器。 操作命令：包括查看、添加、删除链或者规则等操作。 链：是规则的容器，包括默认的链或用户自定义链。 规则匹配：指包的IP地址、端口、包类型等。 目标动作：是当规则匹配一个包时要执行的任务，常用的如下： ACCEPT：允许包通过。 DROP：丢弃包。 REJECT：拒绝包，丢弃包的同时给发送者发送没有接受的通知。 iptables命令的一般语法如下： iptables -t 表名 操作命令 链名 规则匹配 -j 目标动作 保存iptables规则 可以把内存中的规则集转存到文件中，或者从文件中恢复规则集，默认的规则集文件是/etc/sysconfig/iptables 使用iptables-save命令将规则集保存到文件中： iptables-save /etc/sysconfig/iptables 使用iptables-restore命令将规则集从文件恢复到表中： iptables-restore /etc/sysconfig/iptables 为了使得规则在每次系统启动时能被使用，可以将iptables-restore /etc/sysconfig/iptables这条命令放到任何一个系统初始化脚本中。 NAT技术 NAT（Network Address Translation）允许一个机构内部专用网中的主机连接到外部公共网中，无需内部主机拥有注册的Internet地址。 NAT是通过改写数据包的源IP地址、目的IP地址、源端口、目的端口来实现的。 Internet工程任务组（IETF）将某些IP地址留出来供专用网络重复使用： /8 /12 /16 NAT分为两种不同的类型： 源NAT（Source NAT，SNAT）：修改数据包的源地址，即改变连接的来源地。SNAT会在包送出之前的最后一刻做好Post-Routing动作。 目的NAT（Destination NAT，DNAT）：修改数据包的目标地址，即改变连接的目的地。DNAT总是在包进入之后立刻进行Pre-Routing动作。 如果第一个包被允许做NAT，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表一个一个地被NAT，而是自动地完成。 PREROUTING链 （DNAT） POSTROUTING链 （