返回
Linux防火墙与NAT服务配置.ppt

Linux防火墙与NAT服务配置.ppt

ID:51620311

大小:1.72 MB

页数:50页

时间:2020-03-26

Linux防火墙与NAT服务配置.ppt_第1页
Linux防火墙与NAT服务配置.ppt_第2页
Linux防火墙与NAT服务配置.ppt_第3页
Linux防火墙与NAT服务配置.ppt_第4页
Linux防火墙与NAT服务配置.ppt_第5页
资源描述:

《Linux防火墙与NAT服务配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第16章Linux防火墙与NAT服务配置本章介绍iptables的基本概念和基本功能,以及使用iptables架设包过滤防火墙和NAT服务的方法。学完本章后,你将能够:描述Linux防火墙的基本概念和功能使用iptables配置包过滤防火墙使用iptables配置NAT服务16.1Linux防火墙概述16.2iptables简介16.3iptables的使用16.4NAT服务16.1.1防火墙简介1.防火墙的功能防火墙是位于不同网络(如可信的企业内部网和不可信的公共网)或网络安全域之间,对网络进行隔离并实现有条件通信的一系列软件硬件设

2、备的集合。它通过访问控制机制确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。防火墙系统可以由一台路由器,也可以由一台或一组主机组成。它通常被放置在网络入口处,所有内外部网络通信数据包都必须经过防火墙,接受防火墙的检查,只有符合安全规则的数据才允许通过。通过使用防火墙可以实现以下功能:保护内部网络中易受攻击的服务。控制内外网之间网络系统的访问。隐藏内部网络的IP地址及结构的细节,提高网络的保密性。对网络存取和访问进行监控和审计。集中管理内网的安全性,降低管理成本。2.防火墙的类型根据动作方式的不同,通常把防火墙分为包

3、过滤型和应用级网关两大类。包过滤防火墙(PacketFilter)应用级网关(Application-levelGateway)16.1.2Linux包过滤防火墙的架构iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段:在1.1内核中,采用ipfw来操作内核包过滤规则。在2.0内核中,采用ipfwadm来操作内核包过滤规则。在2.2内核中,采用ipchains来控制内核包过滤规则。在2.4内核中(如RedHat9.0、RHEL),采用一个全新的内核包过滤管理工具——iptables。ipta

4、bles只是防火墙与用户之间的接口,真正起到防火墙作用的是Linux内核中运行的netfilter。Linux平台下的包过滤防火墙由netfilter组件和iptables组件组成,其中netfilter运行在内核态,而iptables运行在用户态,用户通过iptables命令来调用netfilter来实现防火墙的功能。netfilter组件iptables组件16.1.3Linux防火墙的安装、启动与关闭iptables防火墙内置于RHEL4AS系统内核中,所以它是随系统的安装而自动安装的。可使用以下命令检查是否已安装:[root@

5、rhel4~]#rpm-qiptablesiptables-1.2.11-3.1.RHEL4安装RHEL4AS时系统会提示是否开启防火墙,默认情况下将开启防火墙。由于系统的防火墙功能是使用iptables实现的,因此系统会根据用户的设置在iptables中添加相应的规则。如果在安装时选择禁用防火墙,则在安装完成后可在终端命令窗口中执行“setup”命令手工开启完成以上配置后,可在终端命令窗口中执行如下命令启动iptables防火墙:[root@rhel4~]#serviceiptablesstart清除防火墙规则:[确定]把chain

6、s设置为ACCEPT策略:filter[确定]正在卸载Iiptables模块:[确定]应用iptables防火墙规则:[确定]将上述命令中的“start”参数变换为“stop”、start”“status”可以分别实现iptables防火墙的关闭、重启和状态的查看。16.1Linux防火墙概述16.2iptables简介16.3iptables的使用16.4NAT服务16.2.1iptables的基本概念规则规则(rules)就是网络管理员预先定义的条件,每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数据包”。链链(ch

7、ains)是数据包传输的路径,每一条链中可以有一条或数条规则。表iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功能。16.2.2iptables数据包传输的过程16.2.3激活IP包转发功能如果要把Linux配置成网关防火墙,内核必须打开IP包转发功能(即路由功能),这样一个数据包才能被送到FORWARD链进行规则检查,否则与防火墙相连的两边的网络是完全隔离的。打开Linux内核包转发功能,可使用以下命令来实现[root@rhel4~]#echo“1”>/proc/sys/net/

8、ipv4/ip_forward上述命令只是一次性有效,为了让主机每次开机后都自动激活IP数据包转发功能,可以采用编辑配置文件/etc/sysctl.conf的方法,将其中的语句:net.ipv4.ip_forward=0

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。