返回
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11

网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11

ID:43770460

大小:4.52 MB

页数:50页

时间:2019-10-14

网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11_第1页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11_第2页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11_第3页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11_第4页
网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11_第5页
资源描述:

《网络操作系统——Linux配置与管理 张金石 高校精品系列-Linux11》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络操作系统—— Linux配置与管理第11章防火墙与代理服务器防火墙技术NTA技术代理服务器技术Netfilter/iptables基础部署iptables防火墙通过NAT方式共享上网通过端口映射发布内网服务器部署Squid代理服务器学习要点11.1概述防火墙技术防火墙的作用在内外网之间安装防火墙,形成一个保护层对进出的所有数据进行监测、分析、限制,并对用户进行认证,防止有害信息进入受保护的网络存在局限性,如不能防范绕过防火墙的攻击;不能防止受到病毒感染的软件或文件的传输,以及木马攻击等;难以避免来自内部的攻击11.1概述防火墙技术防火墙

2、的类型包过滤(PacketFiltering)路由器:在网络层对数据包进行选择,选择的依据是设置的过滤规则,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,确定是否允许该数据包通过应用网关:工作在网络体系结构的应用层,又称代理服务器,是应用级防火墙状态检测防火墙:在检查数据包的基础上,也检查连接状态和应用状态信息,利用数据包之间的关联信息来避免不必要的包检查。更高级的状态检测还能基于应用状态来过滤通信11.1概述防火墙技术防火墙配置方案双宿主机网关(DualHomedGateway):用一台配有两个网络接口的双宿

3、主机做防火墙,其中一个网络接口连接内网(被保护网络),另一个连接Internet。双宿主机又称堡垒主机,用于运行防火墙软件屏蔽主机网关(ScreenedHostGateway):可分为单宿型和双宿型两种类型。通常采用双宿型,堡垒主机有两块网卡,一块连接内网,一块连接包过滤路由器,双宿堡垒主机在应用层提供代理服务11.1概述防火墙技术防火墙配置方案屏蔽子网(ScreenedSubnet):最为复杂的防火墙体系,在内网和Internet之间建立一个被隔离的子网,该子网与内网隔离,形成一个网络防御带,在其中安装应用服务器以发布公共服务。屏蔽子网又

4、称周边网络或DMZ。多防火墙屏蔽子网:最典型的是用两个包过滤路由器将屏蔽子网分别与内网和Internet隔开,构成一个“缓冲地带”三宿主机屏蔽子网:一台防火墙主机共有3个网络接口,分别连接到内部专用网、屏蔽网络和外网(Internet)11.1概述防火墙技术Linux的防火墙解决方案Linux提供优秀的防火墙软件Netfilter/iptables,可以在一台低配置的计算机上运行,以替代昂贵的硬件防火墙产品该软件功能强大,使用灵活,并且可以对流入和流出的数据包进行精细化控制,可以实现包过滤、包重定向和NAT就功能特性来说,可以将防火墙分为以

5、下3种类型。NAT:让内网通过一个或多个公网IP地址访问公网,作为一种防火墙技术,将内网IP地址隐藏起来使公网用户无法直接访问内网。包过滤:依据过滤规则读取和处理网关的所有数据包,允许或阻止数据包通过网关,是一种最基本的防火墙技术。代理服务器:代表内网主机与外部主机通信,通常是应用级网关。作为防火墙技术,隔离内外网,并提供访问控制和网络监控功能。11.1概述NAT技术NAT工作原理NAT实际上是在网络之间对经过的数据包进行地址转换后再转发的特殊路由器内网到外网的NAT实现以下两个方面的功能:共享IP地址和网络连接,让内网计算机共用一个公网地

6、址接入Internet;保护网络安全,通过隐藏内网IP地址,使黑客无法直接攻击内网。11.1概述NAT技术端口映射技术外网到内网的NAT用于从内网向外部用户提供网络服务,NAT可为内网中的服务器建立地址和端口映射,让外网用户访问,这是通过端口映射来实现的端口映射将NAT路由器的公网IP地址和端口号映射到内网服务器的私有IP地址和端口号,来自外网的请求数据包到达NAT路由器,由NAT路由器将其转换后转发给内网服务器,内网服务器返回的应答包经NAT路由器再次转换,然后传回给外网客户端端口映射又称端口转换或目的地址转换,如果公网端口与内网服务器端

7、口相同,则往往称为端口转发。11.1概述NAT技术端口映射技术外网到内网的NAT用于从内网向外部用户提供网络服务,NAT可为内网中的服务器建立地址和端口映射,让外网用户访问,这是通过端口映射来实现的将NAT路由器的公网IP地址和端口号映射到内网服务器的私有IP地址和端口号,来自外网的请求数据包到达NAT路由器,由NAT路由器将其转换后转发给内网服务器,内网服务器返回的应答包经NAT路由器再次转换,然后传回给外网客户端端口映射又称端口转换或目的地址转换,如果公网端口与内网服务器端口相同,则往往称为端口转发。Linux的NAT技术Linux的N

8、etfilter/iptables支持源NAT和目的NAT。NAT对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写,据此将NAT分为以下两种类型。源NAT(SNAT)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。