项目14防火墙与squid代理服务器的搭建.pptxVIP

Linux系统管理与网络服务;项目14 防火墙与squid代理服务器的搭建;14.1 项目背景;14.2 项目知识准备;2. 防火墙的功能 ①过滤进出网络的数据包,封堵某些禁止的访问行为 ②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。 ③对网络攻击进行检测和告警。 防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。 ④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内??IP地址也能够顺利访问外部网络的应用需求。;3. 防火墙的类型 1）按采用的技术划分 ①包过滤型防火墙——在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素，来决定是否允许该数据包通过。（包的大小1500字节） ②代理服务器型防火墙——是运行在防火墙之上的一种应用层服务器程序，它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。;2）按实现的环境划分 ①软件防火墙：学校、上前台电脑的网吧 普通计算机+通用的操作系统（如：linux） ②硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如： NetScreen、FortiNet ） 通常有三个以上网卡接口 外网接口：用于连接Internet网； 内网接口：用于连接代理服务器或内部网络； DMZ接口（非军事化区）：专用于连接提供服务的服务器群。;14.2.2 Linux防火墙概述;2．Linux防火墙的架构 Linux防火墙系统由以下两个组件组成： ①netfilter： netfilter是集成在内核中的一部分 作用是定义、保存相应的过滤规则。 提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。 netfilter是表的容器，表是链的容器，而链又是规则的容器。 表→链→规则的分层结构来组织规则 ②iptables： 是Linux系统为用户提供的管理netfilter的一种工具，是编辑、修改防火墙（过滤）规则的编辑器 通过这些规则及其他配置，告诉内核的netfilter对来自某些源、前往某些目的地或具有某些协议类型的数据包如何处理。 这些规则会保存在内核空间之中。;表→链→规则的分层结构来组织规则;1．表（tables） 专表专用 filter表——包过滤 含INPUT、FORWARD、OUTPUT三个链， nat表——包地址修改：用于修改数据包的IP地址和端口号，即进行网络地址转换。 含PREROUTING、POSTROUTING、OUTPUT三个链， mangle表——包重构：修改包的服务类型、生存周期以及为数据包设置Mark标记，以实现Qos（服务质量）、策略路由和网络流量整形等特殊应用。 含PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD五个链， raw表——数据跟踪：用于数据包是否被状态跟踪机制处理 包含PREROUTING、OUTPUT两个链。;2．链（chains）——处理的数据包流向的不同 INPUT链——当数据包源自外界并前往防火墙所在的本机（入站）时，即数据包的目的地址是本机时，则应用此链中的规则。 OUTPUT链——当数据包源自防火墙所在的主机并要向外发送（出站）时，即数据包的源地址是本机时，则应用此链中的规则。 FORWARD链——当数据包源自外部系统，并经过防火墙所在主机前往另一个外部系统（转发）时，则应用此链中的规则。 PREROUTING链——当数据包到达防火墙所在的主机在作路由选择之前，且其源地址要被修改（源地址转换）时，则应用此链中的规则。 POSTROUTING链——当数据包在路由选择之后即将离开防火墙所在主机，且其目的地址要被修改（目的地址转换）时，则应用此链中的规则。 用户自定义链;3．规则（rules） 规则其实就是网管员预定义的过滤筛选数据包的条件。 规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。 当数据包与规则匹配时，iptables就根据规则所定义的动作来处理这些数据包（如放行、丢弃和拒绝等）。 配置防火墙的主要工作就是添加、修改和删除这些规则。 学习防火墙就是学习这些规则如何去写;14.2.4．数据包过滤匹配流程;14.2.5 代理服务器squid;3．Squid代理服务器的分类及特点 Squid代理服务器按照代理的设置方式可以分为以下三种: ①普通(标准)代