{安全生产管理}网关及安全应用配置防火墙二理论课讲义焦可伟.docx

{安全生产管理}网关及安全应用配置防火墙二理论课讲义焦可伟 《linux网关及安全应用》理论课教案 第3章（配置iptables防火墙二) TOC \o 1-3 \h \z \u 《linux网关及安全应用》理论课教案1 一.课程回顾1 二.本章工作任务(问题列表)1 三.本章技能目标2 四.本章重点难点2 4.1课程重点2 4.2课程难点2 五.整章授课思路 [100分钟]2 5.1本章授课思路：2 5.2预习检查、任务、目标部分 [10分钟]2 5.3 技能点讲解[80分钟]3 5.4 总结 [6分钟] 采用提问方式，注意引导学员回答重点即可！7 六. 布置作业：[4 分钟]8 6.1本章作业8 6.2 作业的提交方式与要求8 6.3 课后习题答案8 七．习题8 课时：2学时 授课人：焦可伟 课程回顾 iptables与netfilter的作用及区别是什么？ iptables命令的语法格式包括哪些组成部分？ 若设置iptables规则时未指定表名，默认使用哪个表？ 设置显式匹配条件时，需要注意什么？ 防火墙对数据包的常见处理方式包括哪些？ 二.本章工作任务(问题列表) 公司使用Linux系统作为网关服务器，应如何设置才能使局域网用户接入Internet？ 公司申请的唯一公网IP地址已被Linux网关服务器使用，而网站服务器在局域网内的另一台机器，在网关上应如何配置才能让Internet上的客户端访问该网站服务器？ 在网关服务器上应做哪些设置，以便在家里也能通过Internet远程管理公司内部的服务器？ 在Linux网关服务器上，如何限制内网用户使用QQ、MSN以及BT下载等？ 三.本章技能目标 会使用SNAT策略配置共享上网 会使用DNAT策略发布企业内网的应用服务 会为Linux防火墙增加应用层过滤功能 四.本章重点难点 4.1课程重点 SNAT策略及其应用 DNAT策略及其应用 使用Layer7应用层过滤 4.2课程难点 SNAT的原理 DNAT的原理 重新编译Linux内核 (强调：这个知识点即是重点也是难点，需要在课上强调) 五.整章授课思路[100分钟] 5.1本章授课思路： 本章主要以案例的形式讲述iptables防火墙的几种典型企业应用：(1)、局域网共享上网；(2)、Internet中发布内网服务器；(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。 先讲解原理，再演示案例。 章节内容共分三个小节。 5.2预习检查、任务、目标部分[10分钟] 1)预习检查：(2分钟) Iptables的典型应用有哪些？ 什么是SNAT 什么是DNAT Linux内核编译的概念 2）技能目标讲解：(4分钟) 会使用SNAT策略配置共享上网 会使用DNAT策略发布企业内网的应用服务 会为Linux防火墙增加应用层过滤功能 3)课程结构：(4分钟) 5.3技能点讲解[80分钟] 1)SNAT策略及应用[20分钟] a)引入：介绍企业局域网接入Internet的需求，来引出iptables的应用SNAT。 b)讲解要点： SNAT策略的应用环境（通过SNAT实现共享上网） SNAT策略的原理 通过SNAT实现MASQUERADE（IP地址伪装），主要强调在整个过程中，数据包在数据流中的变化。 重点是MASQUERADE的作用和特点。 SNAT策略的应用 SNAT典型应用于局域网共享上网的接入，而处理数据包的切入时机，主要选择在路由选择之后(POSTROUTING)进行。 SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。 SNAT只能用于NAT表的POSTROUTING链。 网关使用动态公网IP地址的情况 如果是通过ADSL拨号方式连接Internet，则外网接口名称通常为ppp0、ppp1等 c)课堂案例： 案例一：SNAT应用 iptables-tnat-APOSTROUTING-s/24 -oeth0-jSNAT--to-source1 案例二：网关使用动态公网IP地址的情况 2)DNAT策略及应用[20分钟] a)引入：介绍在Internet中发布内网应用服务器的需求，引出DNAT的应用。 b)讲解要点： DNAT策略的应用环境 在Internet中发布位于企业局域网内的服务器。 DNAT策略的原理 目标地址转换，DestinationNetworkAddressTranslation； 修改数据包的目标IP地址； DNAT策略的应用 通过DNAT策略同时修改目标端口号 使用形式： 只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可，即： -jDNAT--to-destination目标IP:目标端口 c)