学习情境5项目1管理与维护Iptables防火墙.pptVIP

iptables命令Iptables命令中的常用目标动作选项：iptables命令保存规则集：恢复规则集：制定永久性规则集：项目问题三使用iptables配置包过滤防火墙【例15-1】清除所有链中的规则。iptables命令举例【例15-2】设置filter表中3个链的默认策略为拒绝。【例15-3】查看所有链的规则列表。iptables命令举例【例15-4】添加一个用户自定义的链custom。iptables命令举例【例15-5】向filter表的INPUT链的最后添加一条规则，对来自这台主机的数据包丢弃。iptables命令举例【例15-6】向filter表中的INPUT链的第3条规则前面插入一条规则，允许来自于非网段的主机对本机的25端口的访问。iptables命令举例【例15-7】向filter表的INPUT链中添加一条规则，拒绝外界主机访问本机tcp协议的100至1024端口。iptables命令举例【例15-8】向filter表的INPUT链中添加一条规则，拒绝来自其他主机的ping请求。项目问题三NAT的基本知识NAT的主要功能：从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。支持多重服务器和负载均衡。实现透明代理。Linux网络服务器配置管理项目实训教程杨云等编著中国水利水电出版社1.项目课题引入2.防火墙的工作原理3.防火墙的配置与管理4.NAT的配置5.现场演示案例课题引入——项目背景假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网，IP地址为；eth1接口连接内网，IP地址为。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此3台服务器。课题引入——项目分析完成本项目需要解决的问题：什么是防火墙,其工作原理是什么如何使用Iptables进行防火墙设置如何配置包过滤防火墙如何实现NAT课题引入——教学目标学习本课需要实现的教学目标：掌握防火墙的概念和工作原理掌握Iptables的结构和配置方法掌握包过滤防火墙的配置方法掌握NAT的配置方法课题引入——应达到的职业能力学生学习本课后应该具有的职业能力：掌握为企业设计防火墙的能力掌握Linux下Iptables的配置方法掌握包过滤防火墙的配置能力掌握NAT的配置能力具有较好的团队合作能力项目问题一防火墙的工作原理防火墙是一种非常重要的网络安全工具，利用防火墙可以保护企业内部网络免受外网的威胁，作为网络管理员，掌握防火墙的安装与配置非常重要。防火墙分成2种:代理服务器型防火墙包过滤型防火墙包过滤型防火墙包过滤型防火墙内置于Linux系统的内核，在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所有的协议、端口号等因素，来决定是否允许该数据包通过。如图所示是包过滤型防火墙常用的一种模式，主要用来阻隔来自外网对内部网络的威胁。包过滤型防火墙有两种基本的默认访问控制策略：一种是先禁止所有的数据包通过，然后再根据需要允许满足匹配规则的数据包通过。一种是先允许所有的数据包通过，再根据需要拒绝满足匹配规则的数据包通过。0102代理服务器型防火墙代理服务器型防火墙是应用网关型防火墙，通常工作在应用层。代理服务器实际上是运行在防火墙上的一种服务器程序。服务器监听客户机的请求，如申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时，客户端首先连接代理服务器，然后再由代理服务器与外网真实的服务器建立连接，取得客户想要的信息，代理服务器再把信息返回给客户。包过滤型防火墙工作原理数据包从外网传送给防火墙后，防火墙在IP层向TCP层传输数据前，将数据包转发给包检查模块进行处理。首先与第一条过滤规则进行比较。如果与第一条规则匹配，则进行审核，判断是否允许传输该数据包，如果允许则传输，否则查看该规则是否阻止该数据包通过，如果阻止则将该数据包丢弃。如果与第一条过滤规则不同，则查看是否还有下一条规则。如果有，则与下一条规则匹配，如果匹配成功，则进行与（3）相同的审核过程。依此类推，一条一条规则匹配，直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配，则采用防火墙的默认访问控制策略