教学课件项目14 防火墙与squid代理服务器的搭建.ppt
《教学课件项目14 防火墙与squid代理服务器的搭建.ppt》由会员分享,可在线阅读,更多相关《教学课件项目14 防火墙与squid代理服务器的搭建.ppt(72页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、PPT模板下载:/moban/ 行业PPT模板:/hangye/ 节日PPT模板:/jieri/ PPT素材下载:/sucai/PPT背景图片:/beijing/ PPT图表下载:/tubiao/ 优秀PPT下载:/xiazai/ PPT教程: /powerpoint/ Word教程: /word/ Excel教程:/excel/ 资料下载:/ziliao/ PPT课件下载:/kejian/ 范文下载:/fanwen/ 试卷下载:/shiti/ 教案下载:/jiaoan/ 字体下载:/ziti/ 教学课件项目14 防火墙与squid代理服务器的搭建第第2 页页LinuxLinux网络操作系统配
2、置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第3 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第4 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一14.1 项目背景项目背景第第5 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一14.2 项目知识准备项目知识准备第第6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第7 页页Li
3、nuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第8 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一Console口4个10/100/1000口 CheckPoint UTM-1 570 第第9 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一1Linux防火墙的历史防火墙的历史第第10 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一2Linux防火墙的架构防火墙的架
4、构第第11 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一表表链链规则规则的分层结构来组织规则的分层结构来组织规则第第12 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一1表(表(tables) 专表专用专表专用filter表表包过滤包过滤含含INPUT、FORWARD、OUTPUT三个链,三个链,nat表表包地址修改包地址修改:用于修改数据包的:用于修改数据包的IP地址和端口地址和端口号,即进行网络地址转换。号,即进行网络地址转换。含含PREROUTING、POSTROUT
5、ING、OUTPUT三个链,三个链,mangle表表包重构:修改包的服务类型、生存周期以包重构:修改包的服务类型、生存周期以及为数据包设置及为数据包设置Mark标记,以实现标记,以实现Qos(服务质量)、策(服务质量)、策略路由和网络流量整形等特殊应用。略路由和网络流量整形等特殊应用。含含PREROUTING、POSTROUTING、INPUT、OUTPUT和和FORWARD五个链,五个链,raw表表数据跟踪数据跟踪:用于数据包是否被状态跟踪机制处:用于数据包是否被状态跟踪机制处理理包含包含PREROUTING、OUTPUT两个链。两个链。第第13 页页LinuxLinux网络操作系统配置与管
6、理网络操作系统配置与管理2022年年7月月11日星期一日星期一2链(链(chains)处理的数据包流向的不同处理的数据包流向的不同INPUT链链当数据包源自外界并前往防火墙所在的本机(当数据包源自外界并前往防火墙所在的本机(入站)时,即数据包的目的地址是本机时,则应用此链中的入站)时,即数据包的目的地址是本机时,则应用此链中的规则。规则。OUTPUT链链当数据包源自防火墙所在的主机并要向外发当数据包源自防火墙所在的主机并要向外发送(出站)时,即数据包的源地址是本机时,则应用此链中送(出站)时,即数据包的源地址是本机时,则应用此链中的规则。的规则。FORWARD链链当数据包源自外部系统,并经过防
7、火墙所当数据包源自外部系统,并经过防火墙所在主机前往另一个外部系统(转发)时,则应用此链中的规在主机前往另一个外部系统(转发)时,则应用此链中的规则。则。PREROUTING链链当数据包到达防火墙所在的主机在作当数据包到达防火墙所在的主机在作路由选择之前,且其源地址要被修改(源地址转换)时,则路由选择之前,且其源地址要被修改(源地址转换)时,则应用此链中的规则。应用此链中的规则。POSTROUTING链链当数据包在路由选择之后即将离开当数据包在路由选择之后即将离开防火墙所在主机,且其目的地址要被修改(目的地址转换)防火墙所在主机,且其目的地址要被修改(目的地址转换)时,则应用此链中的规则。时,
8、则应用此链中的规则。用户自定义链用户自定义链第第14 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第15 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一表间的优先顺序表间的优先顺序依次为:依次为:raw、mangle、nat、filter链间的匹配顺序链间的匹配顺序入站数据:入站数据:PREROUTING、INPUT出站数据:出站数据:OUTPUT、POSTROUTING转发数据:转发数据:PREROUTING、FORWARD、POSTROUTING链内规则的匹配顺序链内
9、规则的匹配顺序按顺序依次进行检查,找到相匹配的规则即停止(按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)策略会有例外)若在该链内找不到相匹配的规则,则按该链的默认策略若在该链内找不到相匹配的规则,则按该链的默认策略处理处理第第16 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一Squid除了具有防火墙的代理、共享上网等功能外除了具有防火墙的代理、共享上网等功能外,还有以下还有以下特别的作用特别的作用: 加快访问速度加快访问速度,节约通信带宽节约通信带宽多因素限制用户访问多因素限制用户访问,记录用户行为记录用户行为 第
10、第17 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一3Squid代理服务器的分类及特点代理服务器的分类及特点Squid代理服务器按照代理的设置方式可以分为以代理服务器按照代理的设置方式可以分为以下三种下三种:普通普通(标准标准)代理服务器代理服务器这种代理服务器需要在客户端的浏览器中设置代理服务器的地址这种代理服务器需要在客户端的浏览器中设置代理服务器的地址和端口号。和端口号。透明代理服务器透明代理服务器透明代理是透明代理是NAT和代理的完美结合和代理的完美结合,之所以称为透明之所以称为透明,是因为在这是因为在这种方式下用户感觉不到
11、代理服务器的存在种方式下用户感觉不到代理服务器的存在,不需要在浏览器或其不需要在浏览器或其它客户端工具它客户端工具(如网络快车、如网络快车、QQ、迅雷等、迅雷等)中作任何设置中作任何设置,客户机客户机只需要将默认网关设置为代理服务器的只需要将默认网关设置为代理服务器的IP地址便可。地址便可。反向代理服务器反向代理服务器普通代理和透明代理是为局域网用户访问普通代理和透明代理是为局域网用户访问Internet中的中的Web站点站点提供缓存代理提供缓存代理,而反向代理恰恰相反而反向代理恰恰相反,是为是为Internet中的用户访问企中的用户访问企业局域网内的业局域网内的Web站点提供缓存加速。站点提
12、供缓存加速。第第18 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一14.3 项目实施项目实施第第19 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第20 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第21 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第22 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月1
13、1日星期一日星期一第第23 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一网络层的网络层的IP数据包、传输层数据包、传输层TCP数据包数据包第第24 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第25 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一1添加、插入规则添加、插入规则# iptables -t filter -A INPUT -p tcp -j ACCEPT # iptables -I I INPUT
14、-p udp -j ACCEPT # iptables -I-I INPUT 2 -p icmp -j ACCEPT2查看规则查看规则# iptables -t filter -L INPUT -line-numbersChain INPUT (policy ACCEPT)num target prot opt source destination1 ACCEPT udp - anywhere anywhere2 ACCEPT icmp - anywhere anywhere3 ACCEPT tcp - anywhere anywhere # iptables -vnL INPUTL选项要放在
15、选项要放在vn后,否则会将后,否则会将vn当成链名当成链名第第26 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一3创建、删除用户自定义链创建、删除用户自定义链# iptables -t filter -N hnwy在在filter表中创建一条用户自定义的链,链名为表中创建一条用户自定义的链,链名为hnwy。# iptables -t filter -X 清空清空filter表中所有自定义的链。表中所有自定义的链。4删除、清空规则删除、清空规则# iptables -D INPUT 3 # iptables -F# iptables
16、-t nat -F 第第27 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第28 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第29 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一隐含条件匹配隐含条件匹配以以协议匹配为前提协议匹配为前提端口匹配端口匹配以协议匹配为以协议匹配为前提前提,不能单独使用端口匹配,不能单独使用端口匹配# iptables -I-I FORWARD -p tcp -dport 20:2
17、1 -j DROP禁止内网的禁止内网的10.10.1.0/24子网里所有的客户机使用子网里所有的客户机使用FTP协议下载协议下载TCP标记匹配标记匹配用于检查数据包的用于检查数据包的TCP标记位(标记位(-tcp-flags),以便有选择的以便有选择的过滤不同类型的过滤不同类型的TCP数据包数据包使用格式为使用格式为“-tcp-flags 检查范围检查范围 被设置的标记被设置的标记”。“检查范围检查范围”用于指定要检查哪些标记(可识别的标记有:用于指定要检查哪些标记(可识别的标记有:SYN,ACK,FIN,RST,URG,PSH) “被设置的标记被设置的标记”指定在指定在“检查范围检查范围”中
18、出现过且被设为中出现过且被设为1(即状(即状态是打开的)的标记。态是打开的)的标记。#iptables -I I INPUT -p tcp -tcp-flags ! ! SYN,FIN,ACK SYN -j DROP禁止那些禁止那些FIN和和ACK标记被设置而标记被设置而SYN标记未设置的数据包标记未设置的数据包第第30 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第31 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第32 页页LinuxLinux网络操作系统配置与管
19、理网络操作系统配置与管理2022年年7月月11日星期一日星期一第第33 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一命令命令2:iptables-save 将配置信息显示到标准输出将配置信息显示到标准输出(屏幕屏幕)中中命令命令3:iptables-save 路径路径/文件名文件名将显示到标准输出(屏幕)中的当前正在运行的防火墙将显示到标准输出(屏幕)中的当前正在运行的防火墙规则配置信息重定向保存到指定目录的指定文件中。规则配置信息重定向保存到指定目录的指定文件中。service iptables save命令等效于命令等效于ipt
20、ables-save /etc/sysconfig/iptables命令;使用命令;使用iptables-save命令命令可以将多个版本的配置保存到不同的文件中。可以将多个版本的配置保存到不同的文件中。# iptables-save /etc/sysconfig/ipt.v1.0# service iptables save将当前运行的防火墙规则先后保存到用户指定的配置文件和系统将当前运行的防火墙规则先后保存到用户指定的配置文件和系统默认的配置文件。默认的配置文件。第第34 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理2022年年7月月11日星期一日星期一恢复防火墙规则
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教学课件项目14 防火墙与squid代理服务器的搭建 教学 课件 项目 14 防火墙 squid 代理服务器 搭建
限制150内