項(xiàng)目11 配置防火墻與代理服務(wù)器

1、Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程楊云 馬立新 楊建新 編著 中國(guó)水利水電出版社項(xiàng)目11 配置防火墻與代理服務(wù)器主講教師 XXXX課題引入：防火墻與代理服務(wù)器 防火墻是一種非常重要的網(wǎng)絡(luò)安全工具，利用防火墻可以保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的威脅，作為網(wǎng)絡(luò)管理員，掌握防火墻的安裝與配置非常重要。本章重點(diǎn)介紹Iptables和SQUID兩類防火墻的配置。 防火墻與代理服務(wù)器防火墻的分類防火墻的工作原理IptablesNATSQUID代理服務(wù)器掌握防火墻的分類及工作原理掌握Iptables防火墻和SQUID代理服務(wù)器的配置掌握NAT及透明代理的實(shí)現(xiàn)方法Iptables防火墻的配置NAT的實(shí)現(xiàn)方法透

2、明代理的實(shí)現(xiàn)方法學(xué)習(xí)目標(biāo)本章難點(diǎn)防火墻的分類包過(guò)濾型防火墻代理服務(wù)器型防火墻防火墻的分類防火墻技術(shù)用于實(shí)現(xiàn)內(nèi)外網(wǎng)之間訪問(wèn)的安全性。防火墻的兩種主要類型：包過(guò)濾型防火墻代理服務(wù)器（應(yīng)用防火墻）包過(guò)濾型防火墻 包過(guò)濾型防火墻內(nèi)置于Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層或傳輸層對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（ACL）。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號(hào)等因素，來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。如圖所示是包過(guò)濾型防火墻常用的一種模式，主要用來(lái)阻隔來(lái)自外網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅。包過(guò)濾型防火墻有兩種基本的默認(rèn)訪問(wèn)控制策略：一種是先禁止所有的數(shù)據(jù)包通過(guò)，然后再根據(jù)需要允

3、許滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。一種是先允許所有的數(shù)據(jù)包通過(guò)，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。代理服務(wù)器型防火墻 代理服務(wù)器型防火墻是應(yīng)用網(wǎng)關(guān)型防火墻，通常工作在應(yīng)用層。代理服務(wù)器實(shí)際上是運(yùn)行在防火墻上的一種服務(wù)器程序。服務(wù)器監(jiān)聽(tīng)客戶機(jī)的請(qǐng)求，如申請(qǐng)瀏覽網(wǎng)頁(yè)等。當(dāng)內(nèi)網(wǎng)的客戶機(jī)請(qǐng)求與外網(wǎng)的真實(shí)服務(wù)器連接時(shí)，客戶端首先連接代理服務(wù)器，然后再由代理服務(wù)器與外網(wǎng)真實(shí)的服務(wù)器建立連接，取得客戶想要的信息，代理服務(wù)器再把信息返回給客戶。防火墻的工作原理包過(guò)濾型防火墻工作原理代理服務(wù)器型防火墻工作原理包過(guò)濾型防火墻工作原理 包過(guò)濾型防火墻的工作過(guò)程：（1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在IP層向TC

4、P層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。（2）首先與第一條過(guò)濾規(guī)則進(jìn)行比較。（3）如果與第一條規(guī)則匹配，則進(jìn)行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過(guò)，如果阻止則將該數(shù)據(jù)包丟棄。（4）如果與第一條過(guò)濾規(guī)則不同，則查看是否還有下一條規(guī)則。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進(jìn)行與（3）相同的審核過(guò)程。（5）依此類推，一條一條規(guī)則匹配，直到最后一條過(guò)濾規(guī)則。如果該數(shù)據(jù)包與所有的過(guò)濾規(guī)則均不匹配，則采用防火墻的默認(rèn)訪問(wèn)控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過(guò)）。包過(guò)濾型防火墻工作原理包過(guò)濾型防火墻原理圖 包過(guò)濾規(guī)則檢查內(nèi)容：源、目標(biāo)I

5、P地址TCP和UDP的源、目的端口號(hào)協(xié)議類型ICMP消息類型TCP報(bào)頭中的ACK位、序列號(hào)、確認(rèn)號(hào)IP校驗(yàn)和代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻是應(yīng)用層防火墻，它能提供部分與傳輸有關(guān)的狀態(tài)，能提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸?shù)男畔?，工作原理如右圖所示。 代理服務(wù)器型防火墻原理圖代理服務(wù)器型防火墻工作原理 代理服務(wù)器型防火墻的工作過(guò)程：（1）主機(jī)A向代理服務(wù)器發(fā)送一個(gè)訪問(wèn)因特網(wǎng)的請(qǐng)求。（2）代理服務(wù)器將檢測(cè)ACL（訪問(wèn)列表）中的設(shè)置。（3）如果主機(jī)A所需要的信息已經(jīng)存在，代理服務(wù)器將直接將其發(fā)送給主機(jī)A。否則，服務(wù)器將代替主機(jī)A訪問(wèn)因特網(wǎng)。（4）因特網(wǎng)將主機(jī)A所需要的信息發(fā)送給代理服務(wù)器

6、，這些信息將被保存在緩存中。（5）代理服務(wù)器將這些信息發(fā)送給主機(jī)A。（6）主機(jī)B向代理服務(wù)器發(fā)送一個(gè)訪問(wèn)同樣信息的請(qǐng)求。（7）代理服務(wù)器將檢測(cè)ACL（訪問(wèn)列表）中的設(shè)置。（8）服務(wù)器直接將已保存的信息發(fā)送給主機(jī)B。防火墻的工作原理Netfilter/iptables架構(gòu)iptables傳輸數(shù)據(jù)包的過(guò)程iptables命令iptables命令使用舉例Netfilter/iptables架構(gòu) 從1.1內(nèi)核開(kāi)始，Linux下的包過(guò)濾系統(tǒng)經(jīng)歷了3個(gè)階段：在2.0內(nèi)核中，采用ipfwadm來(lái)操作內(nèi)核包過(guò)濾規(guī)則。在2.2內(nèi)核中，采用ipchains來(lái)控制內(nèi)核包過(guò)濾規(guī)則。在2.4內(nèi)核中，采用了一個(gè)全新的內(nèi)核

7、包過(guò)濾管理工具iptables。Netfilter/iptables最早是與2.4內(nèi)核版本的Linux系統(tǒng)集成的IP信息包過(guò)濾系統(tǒng)。它由Netfilter和iptables兩個(gè)組件組成。Netfilter/iptables架構(gòu) Netfilter組件稱為內(nèi)核空間，它集成在Linux的內(nèi)核中。主要由信息包過(guò)濾表（tables）組成，而表由若干個(gè)鏈組成，每條鏈中可以由一條或者多條規(guī)則組成?？偟膩?lái)說(shuō)，Netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。Netfilter/iptables架構(gòu)（1）規(guī)則。規(guī)則存儲(chǔ)在內(nèi)核的包過(guò)濾表中，分別指定了源、目的IP地址、傳輸協(xié)議、服務(wù)類型等。當(dāng)數(shù)據(jù)包

8、與規(guī)則匹配時(shí)，就根據(jù)規(guī)則所定義的方法來(lái)處理數(shù)據(jù)包，如放行、丟棄等動(dòng)作。（2）鏈。鏈?zhǔn)菙?shù)據(jù)包傳播的路徑，每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)數(shù)據(jù)包到達(dá)一條鏈時(shí)，會(huì)從鏈中第一條規(guī)則開(kāi)始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則將繼續(xù)檢查下一條規(guī)則。如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略處理數(shù)據(jù)包。Netfilter/iptables架構(gòu)（3）表。Netfilter中內(nèi)置有3張表：filter表，nat表和mangle表。其中filter表用于實(shí)現(xiàn)數(shù)據(jù)包的過(guò)濾、nat表用于網(wǎng)絡(luò)

9、地址轉(zhuǎn)換、mangle表用于包的重構(gòu)。filter表是iptables默認(rèn)的表， 主要用于數(shù)據(jù)包的過(guò)濾。filter表包含了INPUT鏈（處理進(jìn)入的數(shù)據(jù)包）、FORWARD鏈（處理轉(zhuǎn)發(fā)的數(shù)據(jù)包）和OUTPUT鏈（處理本地生成的數(shù)據(jù)包）。nat表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換。nat表包含了PREROUTIN鏈（修改即將到來(lái)的數(shù)據(jù)包）、OUTPUT鏈（修改在路由之前本地生成的數(shù)據(jù)包）和POSTROUTING鏈（修改即將出去的數(shù)據(jù)包）。 mangle表主要用于對(duì)指定的包進(jìn)行修改。在Linux 2.4.18內(nèi)核之前，mangle表僅包含PREROUTING鏈和OUTPUT鏈。在Linux2.4.18內(nèi)核之后，

10、包括PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五個(gè)鏈。iptables傳輸數(shù)據(jù)包過(guò)程iptables傳輸數(shù)據(jù)包的過(guò)程如下圖所示。 iptables傳輸數(shù)據(jù)包過(guò)程打開(kāi)Linux的路由轉(zhuǎn)發(fā)功能：（1） 修改內(nèi)核變量ip_forward （2）修改/etc/sysctl.conf文件使“net.ipv4.ip_forward”的值設(shè)置為1 。iptables命令iptables命令格式為： iptables -t 表名 -命令 鏈名 匹配條件 目標(biāo)動(dòng)作 Iptables表的常用命令：iptables命令I(lǐng)ptables命令中的常用匹配規(guī)則：iptables

11、命令I(lǐng)ptables命令中的常用目標(biāo)動(dòng)作選項(xiàng)：iptables命令制定永久性規(guī)則集：保存規(guī)則集：恢復(fù)規(guī)則集：iptables命令舉例【例1】清除所有鏈中的規(guī)則 。iptables命令舉例【例2】設(shè)置filter表中3個(gè)鏈的默認(rèn)策略為拒絕 ?！纠?】查看所有鏈的規(guī)則列表 。iptables命令舉例【例4】添加一個(gè)用戶自定義的鏈custom 。iptables命令舉例【例5】向filter表的INPUT鏈的最后添加一條規(guī)則，對(duì)來(lái)自這臺(tái)主機(jī)的數(shù)據(jù)包丟棄 。iptables命令舉例【例6】向filter表中的INPUT鏈的第3條規(guī)則前面插入一條規(guī)則，允許來(lái)自于非/24網(wǎng)段的主機(jī)對(duì)本機(jī)的25端口的訪問(wèn)

12、。iptables命令舉例【例7】向filter表的INPUT鏈中添加一條規(guī)則，拒絕外界主機(jī)訪問(wèn)本機(jī)tcp協(xié)議的100至1024端口。iptables命令舉例【例8】向filter表的INPUT鏈中添加一條規(guī)則，拒絕來(lái)自其他主機(jī)的ping請(qǐng)求 。iptables命令舉例【例9】假設(shè)某單位租用DDN專線上網(wǎng)。網(wǎng)絡(luò)拓?fù)淙缦聢D所示。iptables防火墻的eth0接口連接外網(wǎng)，IP地址為00；eth1接口連接內(nèi)網(wǎng)，IP地址為。假設(shè)在內(nèi)網(wǎng)中存在WEB、DNS和E-mail3臺(tái)服務(wù)器，這3臺(tái)服務(wù)器都有公有IP地址。其IP地址如圖所示。設(shè)置防火墻規(guī)則加強(qiáng)對(duì)內(nèi)網(wǎng)服務(wù)器的保護(hù)，并允許外網(wǎng)的用戶可以訪問(wèn)此3臺(tái)服

13、務(wù)器。例9的解決方案/1. 清空所有的鏈規(guī)則rootRHEL4 # iptables -F/2. 禁止iptables防火墻轉(zhuǎn)發(fā)任何數(shù)據(jù)包rootRHEL4 # iptables -P FORWARD DROP/3. 建立來(lái)自Internet網(wǎng)絡(luò)的數(shù)據(jù)包的過(guò)濾規(guī)則# iptables -A FORWARD p tcp d p tcp -dport 80 -i eth0 -j ACCEPT# iptables -A FORWARD p tcp d -p tcp -dport 53 -i eth0 -j ACCEPT# iptables -A FORWARD p tcp d -p tcp -dpo

14、rt 25 -i eth0 -j ACCEPT# iptables -A FORWARD p tcp d -p tcp -dport 110 -i eth0 -j ACCEPT/4. 接受來(lái)自內(nèi)網(wǎng)的數(shù)據(jù)包通過(guò)rootRHEL4 # iptables -A FORWARD s /24 j ACCEPT/5. 對(duì)于所有的ICMP數(shù)據(jù)包進(jìn)行限制，允許每秒通過(guò)一個(gè)數(shù)據(jù)包，該限制的觸發(fā)條件是10個(gè)包rootRHEL4 # iptables -A FORWARD -p icmp -m limit -limit 1/s -limit-burst 10 -j ACCEPT NATNAT的基本知識(shí)使用iptab

15、les實(shí)現(xiàn)NATNAT的基本知識(shí)NAT的主要功能：（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務(wù)器和負(fù)載均衡。（4）實(shí)現(xiàn)透明代理 。 NAT的基本知識(shí)NAT的工作過(guò)程：（1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計(jì)算機(jī)。（2） NAT將數(shù)據(jù)包中的端口號(hào)和專用的IP地址換成它自己的端口號(hào)和公用的IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī)，同時(shí)記錄一個(gè)跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息。（3）外部網(wǎng)絡(luò)發(fā)送回答信息給NAT。（4）NAT將所收到的數(shù)據(jù)包的端口號(hào)和公用IP地址

16、轉(zhuǎn)換為客戶機(jī)的端口號(hào)和內(nèi)部網(wǎng)絡(luò)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機(jī)。 NAT的基本知識(shí)NAT的工作過(guò)程示意圖：NAT的基本知識(shí)NAT的分類：（1）源NAT（Source NAT，SNAT）。SNAT指修改第一個(gè)包的源IP地址。SNAT會(huì)在包送出之前的最后一刻做好Post-Routing的動(dòng)作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。（2）目的NAT（Destination NAT，DNAT）。DNAT是指修改第一個(gè)包的目的IP地址。DNAT總是在包進(jìn)入后立刻進(jìn)行Pre-Routing動(dòng)作。端口轉(zhuǎn)發(fā)、負(fù)載均衡和透明代理均屬于DNAT。 使用Iptables實(shí)現(xiàn)NAT

17、用戶根據(jù)規(guī)則所處理的信息包類型，使用iptables命令設(shè)置NAT規(guī)則：要做源IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到POSTROUTING鏈中。要做目的IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到PREROUTING鏈中。直接從本地出去的數(shù)據(jù)包的規(guī)則被添加到OUTPUT鏈中。使用Iptables實(shí)現(xiàn)NAT數(shù)據(jù)包穿越NAT的工作流程示意圖：使用Iptables實(shí)現(xiàn)NAT【例10】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)的客戶機(jī)都只有私有IP地址。利用NAT服務(wù)使企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)能夠連接Internet網(wǎng)絡(luò)。 【例10】的解決方案1假設(shè)eth0的I

18、P地址是靜態(tài)分配的。公網(wǎng)IP地址池為00-50 。此時(shí)應(yīng)作SNAT，iptables命令的-j參數(shù)的語(yǔ)法格式為： -j SNAT -to-source/-to IP1-IP2:port1 -port2 配置步驟：打開(kāi)Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實(shí)現(xiàn)SNAT。 rootRHEL4 # iptables t nat A POSTROUTING p tcp o eth0 j SNAT -to 00-50:1025:30000 【例10】的解決方案2假設(shè)連接外網(wǎng)的接口是利用ADSL撥號(hào)連接的ppp0。

19、此時(shí)應(yīng)作IP偽裝，iptables命令的-j參數(shù)的語(yǔ)法格式為： -j MASQUERADE 配置步驟：打開(kāi)Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實(shí)現(xiàn)IP偽裝。rootRHEL4 # iptables t nat A POSTROUTING o ppp0 -j MASQUERADE 使用Iptables實(shí)現(xiàn)NAT【例11】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，IP地址為00。eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)WEB服務(wù)器的IP地址為。要求當(dāng)Internet網(wǎng)絡(luò)中的用戶在瀏覽器中輸

20、入http:/ 00時(shí)可以訪問(wèn)到內(nèi)網(wǎng)的WEB服務(wù)器。【例11】的解決方案根據(jù)題目要求可知，此時(shí)應(yīng)作DNAT。iptables命令的-j參數(shù)的語(yǔ)法格式為： -j DNAT -to-destination/-to IP1-IP2:port1 -port2 實(shí)現(xiàn)DNAT的配置語(yǔ)句： # iptables t nat A PREROUTING p tcp d 00 -dport 80 j DNAT -to :80或者：# iptables t nat A PREROUTING p tcp i eth0 -dport 80 j DNAT -to :80 SQUID代理服務(wù)器SQUID服務(wù)的安裝、啟動(dòng)與停

21、止SQUID服務(wù)器的配置SQUID服務(wù)器配置實(shí)例透明代理SQUID代理服務(wù)器 代理服務(wù)是指由一臺(tái)擁有公有IP地址的機(jī)器代替若干沒(méi)有公有IP地址的機(jī)器和Internet上的其它主機(jī)打交道，提供代理服務(wù)的這臺(tái)機(jī)器稱為代理服務(wù)器。擁有私有IP地址的機(jī)器想連接到Internet上時(shí)，先把這個(gè)請(qǐng)求發(fā)給擁有公有IP地址的代理服務(wù)器，由代理服務(wù)器把這個(gè)請(qǐng)求通過(guò)它的公有IP地址發(fā)到請(qǐng)求的目的地址。然后目標(biāo)地址的服務(wù)器把返回的結(jié)果發(fā)回給代理服務(wù)器，代理服務(wù)器再原封不動(dòng)的把資料發(fā)給內(nèi)部主機(jī)。 Squid是一個(gè)高性能的代理緩存服務(wù)器，可以加快內(nèi)網(wǎng)瀏覽Internet的速度，提高客戶機(jī)訪問(wèn)命中率。Squid不僅支持H

22、TTP協(xié)議，還支持、SSL和WAIS等協(xié)議。Squid由一個(gè)主要的服務(wù)程序Squid，一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫(xiě)請(qǐng)求和執(zhí)行認(rèn)證的程序，以及幾個(gè)管理工具組成。Squid使用訪問(wèn)控制清單（ACL）和訪問(wèn)權(quán)限清單（ARL）阻止特定的網(wǎng)絡(luò)連接來(lái)減少潛在的Internet非法連接。 SQUID服務(wù)的安裝、啟動(dòng)與停止SQUID服務(wù)的安裝：Squid服務(wù)的軟件包在RHEL4的第2張安裝盤(pán)上。軟件包的名字為“squid-2.5.STABLE6-3.i386.rpm”。插入安裝盤(pán)，掛載。然后輸入下面的命令完成安裝。SQUID服務(wù)的安裝、啟動(dòng)與停止SQUID服務(wù)的啟動(dòng)：SQUID服務(wù)的重新啟動(dòng)

23、：SQUID服務(wù)的停止：SQUID服務(wù)器的配置SQUID服務(wù)的主配置文件是/etc/squid/squid.conf，用戶可以根據(jù)自己的實(shí)際情況修改相應(yīng)的選項(xiàng)。下面給出的是一個(gè)配置文件的實(shí)例 ，各項(xiàng)的具體含義見(jiàn)課本P265。SQUID服務(wù)器的配置訪問(wèn)控制列表ACL：ACL是要控制客戶的主機(jī)和域的列表。用戶使用http_access等命令定義控制功能，可以基于源IP地址、域名、甚至?xí)r間和日期等來(lái)使用acl命令定義系統(tǒng)或者系統(tǒng)組。acl命令的格式如下： acl 列表名稱 列表類型 -i 列表值 列表名稱用于區(qū)分Squid的各個(gè)訪問(wèn)控制列表，任何兩個(gè)訪問(wèn)控制列表不能用相同的列表名。列表類型用于定義可被Squid識(shí)別的類別。例如，可以通過(guò)IP地址、主機(jī)名、域名、日期和時(shí)間等。常見(jiàn)選項(xiàng)如下表所示。 ACL類型選項(xiàng)ACL訪問(wèn)控制列表舉例SQUID服務(wù)器配置實(shí)例【