代理服务及防火墙

第16章代理服务及防火墙 课时数 2课时 Linux 教师自我介绍 教师姓名 请进行自我介绍 字体黑体 字号24 色白 字体华文中宋 字号根据内容20 32均可 色黑 本章目标 了解防火墙和代理服务器的基本概念掌握Linux系统中的防火墙管理掌握squid代理服务器管理 应用层代理 应用层代理的基本概念应用层代理针对特定的网络协议提供代理服务HTTP代理和FTP代理是应用层代理的典型应用使用代理服务器可以解决的问题局域网中的所有主机都可以通过同局域网中具有互联网访问能力的代理服务器主机进行外部网络的访问代理服务器对已经访问过的内容提供缓存 可有效的减少对外部网络的访问流量 并能够提高频繁访问的页面的访问效率通过代理服务器可以进行一定程度的访问控制 可以对客户端和被访问页面进行控制 代理服务的应用原理 代理服务器工作在TCP IP的应用层 网络层防火墙 网络防火墙软件的主要功能对进入和流出的IP数据包进行过滤 屏蔽不符合要求的数据包 保证内部网络的安全提供数据包的路由选择 实现网络地址转换 NAT 从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求防火墙的类型硬件防火墙是功能专一的硬件设备 价格昂贵软件防火墙的功能是由计算机中的软件实现的 具有相当大的价格优势 网络层防火墙的应用原理 网络防火墙工作在TCP IP的网络层 Linux中代理服务和防火墙的实现 Linux中使用软件实现代理和防火墙功能使用netfilter iptables架构实现网络防火墙的基本功能使用squid服务器软件实现HTTP服务的代理功能 Linux防火墙软件的发展与实现 Linux中的防火强功能是由内核实现的在2 0内核中 网络防火墙的操作工具名称是ipfwadm在2 2内核中 网络防火墙的操作工具名称是ipchains在2 4之后的内核中 网络防火墙的操作工具名称是iptablesnetfilter与iptables在Linux的内核中使用netfilter架构实现防火墙功能iptables是Linux系统中为用户提供的netfilter管理工具 用于实现对Linux内核中网络防火墙的管理 iptables规则链 iptables缺省具有5条规则链 iptables规则表 iptables缺省具有3个规则表Filter 用于设置包过滤NAT 用于设置地址转换Mangle 用于设置网络流量整形等应用不同的规则表由不同的规则链组成Filter INPUT FORWARD OUTPUTNAT PREROUTING POSTROUTING OUTPUTMangle PREROUTING POSTROUTING INPUT OUTPUT和FORWARD netfilter iptables的典型应用 netfilter iptables的典型应用作为主机防火墙实现外部网络与主机之间的访问控制作为网络防火墙提供外部网络与内部网络的访问控制作为网关服务器实现网络地址转换 NAT 功能 实现内部网络通过网关主机共享访问外部网络netfilter iptables可以在Linux系统中实现网络防火墙的各种常用功能 iptables的软件包组成 RHEL5中的iptables软件包 rpm qiptablesiptables 1 2 11 3 1 RHEL5iptables软件包中的管理命令iptables是主要的管理命令 对网络防火墙功能的管理都是通过iptables命令实现的iptables save命令可以将当前系统中的防火墙设置进行保存iptables restore命令可以将使用iptables save命令保存的防火墙策略配置恢复到当前系统中 iptables服务的启动与停止 iptables服务启动脚本 etc rc d init d iptablesiptables配置文件与策略设置文件iptables配置文件 etc sysconfig iptables config策略设置文件 etc sysconfig iptablesiptables服务的启动与停止iptables服务缺省自动启动可通过启动脚本手工启动和停止iptables服务 serviceiptablesstart 查看防火墙的基本状态 查询防火墙的状态使用iptables命令查询防火墙状态 iptables LChainINPUT policyACCEPT targetprotoptsourcedestinationChainFORWARD policyACCEPT targetprotoptsourcedestinationChainOUTPUT policyACCEPT targetprotoptsourcedestination 使用iptables命令进行策略设置 iptables命令是对防火墙配置管理的核心命令iptables命令提供了丰富的功能 可以对Linux内核中的netfilter防火墙进行各种策略的设置iptables命令的设置在系统中是即时生效的使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失 使用iptables save命令保存设置 iptables save命令提供了防火墙配置的保存功能iptables save命令缺省只将配置信息显示到标准输出 屏幕 中 iptables save如果需要将iptables save命令的输出保存 需要将命令输出结果重定向到指定的文件中 iptables save ipt v1 0使用iptables save命令可以将多个版本的配置保存到不同的文件中 使用iptables restore命令恢复设置 iptables restore命令可恢复防火墙设置iptables restore命令可恢复使用iptables save命令保存的防火墙设置内容iptables restore命令从标准输入或输入重定向文件中获取防火墙的设置内容 iptables restore ipt v1 0iptables restore命令可快速恢复指定版本的防火墙配置 使用iptables脚本保存防火墙设置 iptables脚本可以保存当前防火墙配置在保存防火墙当前配置前应先将原有配置进行备份 cp etc sysconfig iptablesiptables rawiptables脚本的save命令可以保存防火墙配置 serviceiptablessave配置内容将保存在 etc sysconfig iptables 文件中 文件原有的内容将被覆盖 使用防火墙的配置工具 RHEL5中提供了防火墙配置程序运行防火墙配置工具 system config securitylevel tui在防火墙配置工具设置后会即时生效 并将设置保存到 etc sysconfig iptables 文件中 iptables命令的使用6 1 iptables命令的操作对象包括规则表 table 由规则链的集合组成 不同的规则表用于实现不同类型的功能规则链 chain 由规则的集合组成 保存在规则表中 在规则表中不同的规则链代表了不同的数据包流向规则 rule 是最基本的设置项 用于对防火墙的策略进行设置 流经某个数据链的数据将按照先后顺序经过规则的 过滤 iptables命令的使用6 2 iptables中缺省包括3个规则表filternatmangleiptables命令可查看规则表的内容基本语法iptables ttable L chain options 不指定表名称时查看filter表的内容 iptables L查看指定的规则表 iptables tnat L iptables命令的使用6 3 清空表中的规则命令格式 iptables ttable F chain options 清空filter表中的所有规则 iptables F清空nat表中的所有规则 iptables tnat F删除表中的自定义规则链命令格式 iptables ttable X chain iptables命令的使用6 4 添加规则命令格式iptables ttable Achainrule specification options 在INPUT规则链中添加规则 允许来自 lo 网络接口中所有数据包 iptables AINPUT ilo jACCEPT在INPUT规则链中添加规则 允许 eth0 网络接口中来自 192 168 1 0 24 子网的所有数据包 iptables AINPUT ieth0 s192 168 1 0 24 jACCEPT iptables命令的使用6 5 删除规则命令格式iptables ttable Dchainrule specification options 删除规则的iptables命令与添加规则的命令格式类似删除INPUT规则表中已有的规则 iptables DINPUT ieth0 s192 168 1 0 24 jACCEPT iptables命令的使用6 6 设置内置规则链的缺省策略命令格式iptables ttable Pchaintarget options 只有内建规则链才能够设置 缺省策略 将INPUT规则链的缺省策略设置为 DROP iptables PINPUTDROP将规则链的缺省策略的缺省策略设置为 DROP 然后在逐个添加允许通过的规则是比较严谨的规则设置方法 防火墙配置实例2 1 设置主机防火墙策略使用iptables命令设置防火墙策略 iptables F iptables X iptables Z iptables PINPUTDROP iptables AINPUT ilo jACCEPT iptables AINPUT ieth0 ptcp dport22 jACCEPT iptables AINPUT ieth0 ptcp dport80 jACCEPT iptables AINPUT ieth0 ptcp dport3128 jACCEPT serviceiptablessave 清除filter规则表中的所有规则 清除filter规则表中的自定义规则链 清除filter规则表的计数 设置filter表中INPUT规则链的缺省策略为DROP 在INPUT规则链中添加规则允许来自eth0网络接口的SSH WWW和SQUID类型的数据包 保存当前防火墙设置到文件中 在INPUT规则链中添加规则允许来自lo网络接口的所有数据包 防火墙配置实例2 2 设置Linux作为网关服务器配置需求服务器网接口eth0的IP地址为 192 168 1 1 24 eth0网络接口与公司的内部网络相连服务器的网络接口ppp0是主机的拨号网络接口 具有公网IP地址局域网中的所有主机都需要通过Linux网关服务器与外部互联网进行通信关键配置命令 iptables tnat APOSTROUTING s192 168 1 0 24 oppp0 jMASQUERADE tnat APOSTROUTING 表示在nat表的POSTROUTING规则链中添加规则 s192 168 1 0 24 表示数据包的源地址为 192 168 1 0 24 子网 oppp0 表示数据包的流出网络接口是 ppp0 ppp0 网络接口具有公网IP地址 jMASQUERADE 表示对数据包进行的处理 即将符合条件的数据包进行IP伪装 阶段总结 代理服务器和网络防火墙工作在不同的协议层在Linux系统中内核提供包过滤防火墙功能 使用squid服务器实现代理服务器功能netfilter是Linux内核中的包过滤框架 iptables是对netfilter的管理工具使用iptables可设置Linux系统实现各种常用的网络防火墙功能 阶段练习 查看Linux系统中iptables软件包中包括的文件 并查询iptables服务的启动状态使用iptables命令查看filter规则表的设置内容 squid服务器的功能 squid服务具有以下基本功能提供对HTTP和FTP协议的代理服务缓存代理的内容 提高客户端访问网站的速度 并能够节约出口网络流量对客户端地址进行访问控制 限制允许访问squid服务器的客户机对目标地址进行访问控制 限制客户端允许访问的网站根据时间进行访问控制 限定客户端可以使用代理服务的时间 squid服务器的代理工作机制 squid服务器具有代理和缓存的基本功能 数据缓存 代理进程 远端服务器 客户端 squid服务器的安装 squid服务器在RHEL5系统中已经默认安装 rpm qsquidsquid 2 5 STABLE6 3squid服务的启动状态squid服务程序在RHEL5中默认不自动启动需要用chkconfig命令设置squid服务在运行级别3和5中自动启动 chkconfig level35squidon squid服务启动前的准备 确认主机具有完整的域名squid服务运行需要Linux主机具有完整的域名 grep hostname etc hostssquid服务器的初始化在第一次使用squid服务器之前需要先对squid服务器进行初始化工作 squid z初始的主要作用是在squid服务器的工作目录中建立需要的子目录 ls var spool squid 000102030405060708090A0B0C0D0E0F squid服务的启动与停止 启动脚本squid服务的启动脚本名称是 squid etc init d squid启动与停止squid服务启动squid服务 servicesquidstart停止squid服务 servicesquidstop服务端口squid服务器的缺省服务端口为3128 squid服务的配置文件3 1 配置目录squid具有独立的目录保存配置文件 etc squid 主配置文件主配置文件squid conf保存在配置目录中 etc squid squid confsquid conf文件中的配置选项配置服务端口http port3128 squid服务的配置文件3 2 squid conf文件中的配置选项缓冲内存数量cache mem8MB cache mem 的值设置为服务器物理内存的三分之一比较合适工作目录cache dirufs var spool squid10016256 cache dir 设置项的缺省值为设置 var spool squid 作为squid的工作路径 10016256 分别表示 目录中最大的容量是100MB 目录中的一级子目录的数量为16个 二级子目录为 256 个 squid服务的配置文件3 3 squid conf文件中的配置选项访问控制设置 http access 用于设置允许或拒绝访问控制对象http accessallowlocalhosthttp accessdenyall访问控制列表 ACL 的定义 acl 配置项用于设置访问控制列表的内容aclallsrc0 0 0 0 0 0 0 0acllocalhostsrc127 0 0 1 255 255 255 255重新启动squid服务对squid conf文件修改后需要重新启动服务程序 servicesquidrestart 配置透明代理服务器 配置squid服务器修改squid conf配置文件中的设置 vi etc squid squid conf 在配置文件中添加以下的配置行httpd accel hostvirtualhttpd accel port80httpd acc