文档介绍:配置防火墙与***
课题引入:防火墙与***
防火墙是一种非常重要的网络安全工具,利用防火墙可以保护企业内部网络免受外网的威胁,作为网络管理员,掌握防火墙的安装与配置非常重要。本章重点介绍Iptables和SQUID两类防火墙的配置。
防火墙与***
防火墙的分类
防火墙的工作原理
Iptables
NAT
SQUID***
掌握防火墙的分类及工作原理
掌握Iptables防火墙和SQUID***的配置
掌握NAT及透明代理的实现方法
Iptables防火墙的配置
NAT的实现方法
透明代理的实现方法
学****目标
本章难点
防火墙的分类
包过滤型防火墙
***型防火墙
防火墙的分类
防火墙技术用于实现内外网之间访问的安全性。
防火墙的两种主要类型:
包过滤型防火墙
***(应用防火墙)
包过滤型防火墙
包过滤型防火墙内置于Linux系统的内核,在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则(ACL)。通过检查数据流中每个数据包的源地址、目的地址、所有的协议、端口号等因素,来决定是否允许该数据包通过。如图所示是包过滤型防火墙常用的一种模式,主要用来阻隔来自外网对内部网络的威胁。
包过滤型防火墙有两种基本的默认访问控制策略:
一种是先禁止所有的数据包通过,然后再根据需要允许满足匹配规则的数据包通过。
一种是先允许所有的数据包通过,再根据需要拒绝满足匹配规则的数据包通过。
***型防火墙
***型防火墙是应用网关型防火墙,通常工作在应用层。***实际上是运行在防火墙上的一种服务器程序。服务器监听客户机的请求,如申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时,客户端首先连接***,然后再由***与外网真实的服务器建立连接,取得客户想要的信息,***再把信息返回给客户。
防火墙的工作原理
包过滤型防火墙工作原理
***型防火墙工作原理
包过滤型防火墙工作原理
包过滤型防火墙的工作过程:
(1)数据包从外网传送给防火墙后,防火墙在IP层向TCP层传输数据前,将数据包转发给包检查模块进行处理。
(2)首先与第一条过滤规则进行比较。
(3)如果与第一条规则匹配,则进行审核,判断是否允许传输该数据包,如果允许则传输,否则查看该规则是否阻止该数据包通过,如果阻止则将该数据包丢弃。
(4)如果与第一条过滤规则不同,则查看是否还有下一条规则。如果有,则与下一条规则匹配,如果匹配成功,则进行与(3)相同的审核过程。
(5)依此类推,一条一条规则匹配,直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配,则采用防火墙的默认访问控制策略策略(丢掉该数据包,或允许该数据包通过)。