配置防火墙和代理服务器
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
#iptables –A FORWARD –p - -dport 445 –j DROP
实例6
要禁止转发来自物理地址为00:0C:29:03:F3:75
的网络接口的数据包
#iptables
–A FORWARD –m mac - -mac-source 00:0C:29:03:F3:75 –j DROP
配置实例
内网网段为192.168.80.0,www服务器:
192.168.80.251,FTP服务器: 192.168.80.252,Email服务器: 192.168.80.253,为该网络搭建最小化的包 过滤防火墙
配置包过滤防火墙
步骤 在/etc/rc.d/目录下建立空脚本filter-firewall,
配置防火墙和代理服务器
主讲:张晶 Tel:33620997 Email:jingzhang_79@163.com
防火墙的概念
iptables的配置
代理服务器的配置
防火墙技术发展
安全 的威胁
√ 黑客入侵 √ 内部攻击 √ 病毒危害 √ 信息泄露 √ 数据篡改
防火墙技术发展
百度文库
防火墙的引入
并添加权限 编辑/etc/rc.d/rc.local文件,使脚本在系统启 动的时自动运行 编辑脚本文件filter-firewall 启动该脚本
步骤1
#touch
/etc/rc.d/filter-firewall #chmod 755 /etc/rc.d/filter-firewall
OUTPUT的表。
包过滤管理工具
iptables
利用iptables命令可以创建、删除或插入链, 并可以在链中创建、删除或插入过滤规则。
安装iptables软件包
iptables-1.2.7a.-2.i386.rpm
第一张光盘
iptables命令用法
基本格式
iptables [-t table] command [match] [-j target/jump]
Internet
边界点安全威胁
防火 墙
HTTP/FTP/SMTP Server
Proxy Server
File Server Data Base
User Client
防火墙技术发展
防火墙的概念:
在信任网络与非信任网络之间,通过预定义的 安全策略,对内外网通信强制实施访问控制的安全 应用设备。
导入防火墙的技术原理:
将不信任网络对信任网络的安全威胁强制到 单一安全控制点。
防火墙的原则:
一切未被允许的就是禁止的!
防火墙技术发展 防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问
不能防范来自网络内部的攻击
不能主动防范新的安全威胁
#iptables
实例4
要禁止220.174.156.22主机访问本机
#iptable
–A INPUT –s 220.174.156.22 –j DROP
实例5
要禁止对tcp
445端口的连接和转发
#iptables –A –p tcp - -dport 445 –j DROP
防火墙技术发展
防火墙的分类 包过滤式防火墙 应用网关式防火墙 电路层网关式防火墙
防火墙技术发展 防火墙:包过滤技术
客户端
防火墙
服务器
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 包过滤引擎 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
步骤2
步骤2
#echo
“/etc/rc.d/fiter-firewall” >>/etc/rc.d/rc.local
启动脚本
#/etc/rc.d/filter-firewall
实例1
在filter表中创建一个名为block的链
#iptables
–N block
实例2
要清除filter表中的全部规则 #iptables
–F INPUT
实例3
要将INPUT、FORWARD和OUTPUT链的
默认策略设置为ACCEPT –P INPUT ACCEPT #iptables –P FORWARD ACCEPT #iptables –P OUTPUT ACCEPT
Linux下防火墙的框架
netfilter是Linux核心中的通用框架 该框架提供了filter、nat和managle3个表,
每个表包含若干条内建的链(chains)。
链中可定义一条或多条过滤规则,即链是
规则的一个列表。
IP包过滤
Filter用于实现IP封包的过滤处理 该表内建3个名为INPUT、FORWARD和
防火墙技术发展 防火墙:包过滤技术
检 查 项
IP 包的源地址 IP 包的目的地址 TCP/UDP 源端口
包过滤防火墙
IP 包 检测包头 符合 不符合 安全策略:过滤规则 路由表 检查路由
转发
丢弃
防火墙技术发展 包过滤防火墙特点:
对应用完全透明;
数据吞吐率高;
实现容易(便宜),多用于接入路由器;
随着安全规则的增加,配置、维护规则比较困难; 处于较低层,对会话内容无法监控,安全性能较低;
实例6
要禁止转发来自物理地址为00:0C:29:03:F3:75
的网络接口的数据包
#iptables
–A FORWARD –m mac - -mac-source 00:0C:29:03:F3:75 –j DROP
配置实例
内网网段为192.168.80.0,www服务器:
192.168.80.251,FTP服务器: 192.168.80.252,Email服务器: 192.168.80.253,为该网络搭建最小化的包 过滤防火墙
配置包过滤防火墙
步骤 在/etc/rc.d/目录下建立空脚本filter-firewall,
配置防火墙和代理服务器
主讲:张晶 Tel:33620997 Email:jingzhang_79@163.com
防火墙的概念
iptables的配置
代理服务器的配置
防火墙技术发展
安全 的威胁
√ 黑客入侵 √ 内部攻击 √ 病毒危害 √ 信息泄露 √ 数据篡改
防火墙技术发展
百度文库
防火墙的引入
并添加权限 编辑/etc/rc.d/rc.local文件,使脚本在系统启 动的时自动运行 编辑脚本文件filter-firewall 启动该脚本
步骤1
#touch
/etc/rc.d/filter-firewall #chmod 755 /etc/rc.d/filter-firewall
OUTPUT的表。
包过滤管理工具
iptables
利用iptables命令可以创建、删除或插入链, 并可以在链中创建、删除或插入过滤规则。
安装iptables软件包
iptables-1.2.7a.-2.i386.rpm
第一张光盘
iptables命令用法
基本格式
iptables [-t table] command [match] [-j target/jump]
Internet
边界点安全威胁
防火 墙
HTTP/FTP/SMTP Server
Proxy Server
File Server Data Base
User Client
防火墙技术发展
防火墙的概念:
在信任网络与非信任网络之间,通过预定义的 安全策略,对内外网通信强制实施访问控制的安全 应用设备。
导入防火墙的技术原理:
将不信任网络对信任网络的安全威胁强制到 单一安全控制点。
防火墙的原则:
一切未被允许的就是禁止的!
防火墙技术发展 防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问
不能防范来自网络内部的攻击
不能主动防范新的安全威胁
#iptables
实例4
要禁止220.174.156.22主机访问本机
#iptable
–A INPUT –s 220.174.156.22 –j DROP
实例5
要禁止对tcp
445端口的连接和转发
#iptables –A –p tcp - -dport 445 –j DROP
防火墙技术发展
防火墙的分类 包过滤式防火墙 应用网关式防火墙 电路层网关式防火墙
防火墙技术发展 防火墙:包过滤技术
客户端
防火墙
服务器
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 包过滤引擎 网络层 数据链路层 物理层
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
步骤2
步骤2
#echo
“/etc/rc.d/fiter-firewall” >>/etc/rc.d/rc.local
启动脚本
#/etc/rc.d/filter-firewall
实例1
在filter表中创建一个名为block的链
#iptables
–N block
实例2
要清除filter表中的全部规则 #iptables
–F INPUT
实例3
要将INPUT、FORWARD和OUTPUT链的
默认策略设置为ACCEPT –P INPUT ACCEPT #iptables –P FORWARD ACCEPT #iptables –P OUTPUT ACCEPT
Linux下防火墙的框架
netfilter是Linux核心中的通用框架 该框架提供了filter、nat和managle3个表,
每个表包含若干条内建的链(chains)。
链中可定义一条或多条过滤规则,即链是
规则的一个列表。
IP包过滤
Filter用于实现IP封包的过滤处理 该表内建3个名为INPUT、FORWARD和
防火墙技术发展 防火墙:包过滤技术
检 查 项
IP 包的源地址 IP 包的目的地址 TCP/UDP 源端口
包过滤防火墙
IP 包 检测包头 符合 不符合 安全策略:过滤规则 路由表 检查路由
转发
丢弃
防火墙技术发展 包过滤防火墙特点:
对应用完全透明;
数据吞吐率高;
实现容易(便宜),多用于接入路由器;
随着安全规则的增加,配置、维护规则比较困难; 处于较低层,对会话内容无法监控,安全性能较低;