第一篇:Linux网关及安全应用总结
第一章 系统安全常规优化
一、用户账号安全优化
1、基本安全措施
删除系统中不使用的用户和组
passwd-l zhangsan或
vi /etc/shadow(用户名前加!)userdel lp 确认程序或服务用户的登录shell不可用
vi /etc/passwd usermod –s /sbin/nologin rpm 限制用户的密码有效期(最大天数)
vi /etc/login.defs(PASS_MAX_DAYS
30)
只对新建立的用户有效
chage-M 30 zhangsan Chage-d 0 zhangsan 限制用户密码的最小长度
vi /etc/pam.d/system-auth password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 限制记录命令历史的条数
HISTSIZE=100 设置闲置超时自动注销终端
vi /etc/profile export TMOUT=600
2、使用su切换切换用户身份
gpasswd-a zhangsan wheel vi /etc/pam.d/su auth required pam_wheel.so use_uid vi /etc/sudoers lisi jerry 或 visudo
NOPASSWD:命令列表
3、使用sudo提升执行权限
用户 主机名=(权限用户)
localhost=/sbin/ifconfig
localhost= NOPASSWD:/sbin/ifconfig
ALL=(ALL)
NOPASSWD:ALL localhost=(lisi)NOPASSWD:ALL
对已有用户有效
指定用户在下次登录时必须修改密码
%wheel zhangsan
sudo-l 使用sudo执行命令(以jerry为例)
sudo /sbin/ifconfig eth0 10.0.0.1
二、文件和文件系统安全优化
1、文件系统层次的安全优化
合理规划系统分区
建议部分分区为独立的分区/boot、/home、/var、/opt等 vi /etc/fstab /dev/sdc1 /var
ext3 /var
defaults,noexec 2 mount
-o remount 通过挂载选项禁止执行set位程序、二进制程序
锁定不希望更改的系统文件
chattr +i /etc/services /etc/passwd /boot/grub.conf lsattr /etc/passwd chattr-i /etc/passwd
2、应用程序和服务
关闭不需要的系统服务,如cupsd、bluetooth等 禁止普通用户执行init.d目录中的脚本
chmod-R o-rwx /etc/init.d 或 chmod-R 750 /etc/init.d/ 禁止普通用户执行控制台程序
cd /etc/security/console.apps/ tar jcpvf /etc/conheplpw.tar.bz2 poweroff halt reboot--remove find /-type f-perm +6000 > /etc/sfilelist vi /usr/sbin/chksfile
#!/bin/bash OLD_LIST=/etc/sfilelist for i in `find /-type f-perm +6000` do grep-F “$i”
$OLD_LIST > /dev/null [ $?-ne 0 ] && ls-lh $i 去除程序文件中非必需的set-uid或set-gid附加权限
done chmod 700 /usr/bin/chksfile
三、系统引导和登录安全优化
1、开关机安全控制
调整BIOS引导设置(只设置系统硬盘启动,并设置BIOS口令)防止用户Ctrl+Alt+Del热键重启系统(vi /etc/inittab)
第二章 配置iptables防火墙
(一)一、netfilter/iptables
1、规则表:
使用pam_access认证控制用户登录地点
禁止除了root以外的用户从tty1终端上登录系统
vi /etc/pam.d/login
account required pam_access.so: root :192.168.1.0/24 172.16.0.0/8
vi /etc/security/access.conf filter:INPUT、OUTPUT、FORWARD nat:PREROUTING、POSTROUTING、OUTPUT mangle :PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUT raw:OUTPUT、PREROUTING
2、数据包过滤匹配流程
规则表优先顺序:raw、mangle、nat、filter 各规则间的优先顺序:按顺序匹配处理,有匹配项并处理后,不再继续查找(除LOG记录日志外),均不匹配,按默认规则处理
二、管理和设置iptables规则
1、iptables
[-t 表名] 命令选项
[链名] [条件匹配] [-j 目标动作或跳转]
iptables
[-t 表名]
命令选项
[链名]
-t filter-A
INPUT
-t nat-D
OUTPUT-t mangle-I
FORWARD
-t raw-L
PREROUTING
-F
POSTROUTING
-X
-N
-n
-v
-V
-h
-P
--line-numbers
2、语法示例:
iptables-L INPUT-line-numbers iptables
-vnL iptables
-D INPUT 2 iptables
-F iptables
-t
nat-F iptables
-t mangle-F iptables
-t
filter-P FORWARD DROP iptables
-P OUTPUT ACCEPT iptables-p icmp-h iptables-t raw-N TCP_PACKETS iptables-t raw-X iptables-I INPUT-p-j REJECT iptables-A FORWARD-p
!icmp
-j iptables-L FORWARD
[条件匹配]
[-j 目标动作或跳转]
通用条件匹配
-j DROP
-p icmp/tcp/udp
-j ACCEPT
-s 10.0.0.0/8
-j REJECT
-d
20.0.0.10
-j LOG 隐含条件匹配
-j SNAT
--dport
-j DNAT
--sport
20:1024
-j
REDIRECT
tcp标记匹配
--tcp-flags [!]SYN,RST,ACK SYN
ICMP类型匹配
--icmp-type Echo-Request
--icmp-type Echo-Reply
--icmp-type destination-Unreachable
显式条件匹配
-m
mac--mac-source
-m
multiport--dport 20,21,25
-m
iprange--src-range 10.0.0.10-10.0.0.100
-m state--state NEW
-m
state--state ESTABLISHED,RELATED
-m
limit--limit 3/minute--limit-burst 8-j LOG
ACCEPT
iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables-A FORWARD-A FORWARD-A INPUT-I INPUT-A INPUT-A INPUT-i-s-p-p-s-s
192.168.1.11-j 192.168.0.0.24
-s
-j
REJECT-j
ACCEPT
-j
DROP
-j
ACCEPT 53-j 53-j
ACCEPT ACCEPT
-j-j
REJECT ACCEPT eth1 192.168.0.0/16
DROP 22-s 10.0.0.0/8 tcp--dport INPUT-s-d
-p
202.13.0.0/16
20:1024-j udp udp-p-p
tcp--dport ACCEPT-A FORWARD-A FORWARD-I-I INPUT INPUT-i-i-p-p-p-p
192.168.0.0/24 192.168.0.0/24
-p-p
--dport--sport eth1 eth1 icmp icmp icmp
tcp--tcp-flags tcp--tcp-flags
SYN,RST,ACK
-j-j
SYN
!SYN,RST,ACK SYN
DROP ACCEPT
-j
-A INPUT-A INPUT-A INPUT-A INPUT
--icmp-type--icmp-type--icmp-type
Echo-Request Echo-Reply
destination-Unreachable ACCEPT-j
ACCEPT-A FORWARD-A FORWARD-A FORWARD-A INPUT-A INPUT-I-I-I INPUT INPUT INPUT-p-p-p-p-p 1-m mac--mac-source 00:01:02:03:04:05-j tcp-m multiport--dport-p-m state--state NEW tcp-m state tcp-m state tcp-m state tcp--dport-p
tcp--dport
--state--state--state
tcp-m tcp-m iprage
-p
DROP
20,21,25,110,1250 :1280
tcp!--syn-j
-j
DROP
--src-range 192.168.1.20-192.168.1.99-j DROP
DROP
-j
ACCEPT
NEW
ESTABLISHED,RELATED
20,21,80
-j-j
ESTABLISHED tcp-m multiport-j
--dport DROP
ACCEPT ACCEPT-j LOG-R INPUT 22-m limit--limit 3/minute--limit-burst
3、导出、导入防火墙规则
iptables-save > /etc/sysconfig/iptables iptables-restore
< /ec/sysconfig/iptables
4、加载包过滤相关的内核模块
iptables用到的大部分模块都可以在需要时动态载入内核,而有一小部分模块可能需要管理员手动加载 /sbin/depmod-a /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe /sbin/modeprobe ip_tables ip_conntrack iptable_filter iptables_nat iptable_mangle iptable_raw ipt_REJECT ipt_LOG ipt_iprange xt_tcpudp xt_state xt_multiport xt_mac xt_limit ip_nat_ftp ip_nat_irc ip_conntrack_ftp ip_conntrack_irc 第三章配置iptables防火墙
(二)一、SNAT策略
iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth1-j SNAT--to-source 218.29.30.31 或
iptables-t nat-A POSTROUTING-s 192.168.1.0/24 –o eth1-j MASQUERADE iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--djport 80
-j DNAT--to-destination 192.168.1.6 iptables-t nat-A PREROUTING-i eth1-s 63.64.65.0/24-d 218.29.30.31-p tcp--dport 2222
-j DNAT--to-destination 192.168.1.5:22
二、DNAT策略
三、使用Layer7应用层过滤功能
1、重新编译安装Linux内核
第四章 构建squid代理服务器
一、概述:
1、代理与NAT的区别
2、传统代理/透明代理/反向代理
二、添加实验
1、拓朴: tar zxvf netfilter-layer7-v2.21.tar.gz-C /usr/src/ tar jxvf linux-2.6.28.8.tar.bz2-C /usr/src/ cd /usr/src/linux-2.6.28.8
patch-p1 <../netfilter-layer-v2.21/kernel-2.6.25-2.6.28-layer7-2.21.patch cp /boot/config-2.6.18-18.el5
.conffig make menuconfig 选择相关模块,保存退出
2、重新编译安装iptables并安装l7-protocols协议包
rpm-e iptables-ipv6 iptables iptstate--nodeps tar-jxvf iptables-1.4.2.tar.bz2-C /usr/src cd /usr/src/iptables-1.4.2/
tar zxvf l7-protocols-2009-05-10.tar.gz-C /usr/src cd l7-protocols-2009-05-10 make install cp /usr/src/netfilter-layer7-v2.21/iptables-1.4.1.1-for-kernel-2.6.20forward/libxt_layer7.*
extensions/./configure--prefix=/--with-ksource=/usr/src/linux-2.6.28.8 make && make install
3、使用iptables设置应用层过滤规则
iptables-A FORWARD-m layer7--l7proto qq-j DROP iptables-A FORWARD-p tcp--syn-m connlimit--connlimit-above 100-j DROP iptables-A FORWARD-p tcp--dport 80-m time--timestart 8:30--timestop 18:00
--weekdays Mon,Tue,Wed,Thu,Fri-j ACCEPT Iptables-A FORWARD-p udp--dport 53-m string--string “tencent”
--algo bm-j DROP
2、要求:
代理:用squid实现http透明代理,其它服务通过nat实现 网关安全:
内网能ping通网关,可以使用代理,其它访问拒绝 外网请求均被拒绝
参考步骤:
iptables –t nat –A PREROUTING-i eth1-s 10.0.0.0/8-p tcp--dport 80-j REDIRECT
--toports 3128 Iptables-P INPUT DROP iptables-A INPUT-i eth0-s 10.0.0.0/8-p icmp--icmp-type Echo-Request-j ACCEPT iptables-A INPUT-i eth0-s 10.0.0.0/8-p tcp--dport 3128-j ACCEPT iptables-A INPUT-i eth1-p tcp-m state--state ESTABLISHED-j ACCEPT
第二篇:信安世纪应用安全网关培训方案
信安世纪公司•质量体系文件
培训方案
培训方案
培训课题: 信安世纪应用安全培训
文件编号:INFOSEC/QR-AD-14
培训课时: 2小时
培训讲师: 朱照印
培训内容:
1、SSL原理介绍
2、SSL应用安全网关配置
本次培训应达到的目的:
知道ssl的原理,能够进行设备功能配置
培训资料(讲稿、幻灯片、参考资料):
客户培训稿
SSL原理培训文档 SSL配置配置文档
本次培训适用人员: 用户、运维人员
编制人:朱照印
时间:2015.5.8
第三篇:物联网网关总结
目录
一、物联网网关概述...............................................................2
二、物联网网关相关技术.......................................................2
三、物联网网关功能分析.......................................................3
四、综合物联网网关实现.......................................................4
五、物联网网关发展前景.......................................................5
一、物联网网关概述
物联网网关,作为一个新的名词,在未来的物联网时代将会扮演非常重要的角色,它将成为连接感知网络与传统通信网络的纽带。作为网关设备,物联网网关可以实现感知网络与通信网络,以及不同类型感知网络之间的协议转换.既可以实现广域互联.也可以实现局域互联。此外物联网网关还需要具备设备管理功能,运营商通过物联网网关设备可以管理底层的各感知节点,了解各节点的相关信息,并实现远程控制。
二、物联网网关相关技术
移动互联网技术
移动互联网已成为全球关注的热点。就如移动语音是相对于固定电话而言,移动互联网是相对固定互联网而言的。虽然目前业界对移动互联网并没有一个统一定义,但对其概念却有一个基本的判断,即从网络角度来看,移动互联网是指以宽带IP为技术核心,可同时提供语音、数据、多媒体等业务服务的开V放式基础电信网络;从用户行为角度来看,移动互联网是指采用移动终端通过移动通信网络访问互联网并使用互联网业务,这里对于移动终端的理解既可以认为是手机也可以认为是包括手机在内的上网本、PDA、数据卡方式的笔记本电脑等多种类型,其中前者是对移动互联网的狭义理解,后者是对移动互联网的广义理解。
从层次上看,移动互联网可分为:终端设备层、接入网络层和应用业务层。其最大的特点是应用和业务种类的多样性(继承了互联网的特点),对应的通信模式和服务质量要求也各不相同:在接入层支持多种无线接入模式,但在网络层以IP协议为主;终端种类繁多,注重个性化和智能化,一个终端上通常会同时运行多种应用。嵌入式系统技术
嵌入式系统(Embedded System)是以应用为中心,以计算机技术为基础,并且软硬件可裁剪,适用于应用系统对功能、可靠性、成本、体积、功耗有严格要求的专用计算机系统。它包括硬件和软件两部分。硬件包括微处理器、存储器及外设器件和I/O端口、图形控制器等;软件部分包括操作系统和应用程序,有时设计人员把这两种软件组合在一起。操作系统控制着应用程序与硬件的交互作用;而应用程序控制着系统的运作和行为。
嵌入式系统的核心是嵌入式微处理器(Embedded Microprocessor Unit, EMPU),其在汽车、个人数字助理(PDA)甚至是家用电器领域都获得了广泛的运用。
嵌入式微处理器一般具备4个特点: 对实时和多任务有很强的支持能力。 具有功能很强的存储区保护功能。 可扩展的处理器结构。
嵌入式微处理器的功耗必须很低。传感器技术
传感器是能感受规定的被测量并按照一定规律转换成可用输出信号的器件或装置,通常有敏感元件和转换元件组成。传感器是一种物理装置或生物器官,能够探测、感受外界的信号、物理条件(如光、热、湿度)或化学组成(如烟雾),并将探知的信息传递给其他装置或器官。
传感器属于物联网的神经末梢,成为人类全面感知自然的最核心元件,各类传感器的大规模部署和应用是构成物联网不可或缺的基本条件。对应不同的应用我们提供不同的传感器,覆盖范围包括智能工业、智能安保、智能家居、智能运输、智能医疗等等。
三、物联网网关功能分析
广泛的接入能力
目前用于近程通信的技术标准很多,仅常见的WSNs技术就包括Lonworks、ZigBee、6LowPAN、RUBEE等。各类技术主要针对某一应用展开,之间缺乏兼容性和体系规划。现在国内、外已经在展开针对物联网网关进行标准化工作,如3GPP、传感器工作组,实现各种通信技术标准的互联互通。可管理能力
强大的管理能力,对于任何大型网络都是必不可少的。首先要对网关进行管理,如注册管理、权限管理、状态监管等。网关实现子网内的节点的管理,如获取节点的标识、状态、属性、能量等,以及远程实现唤醒、控制、诊断、升级和维护等。由于子网的技术标准不同,协议的复杂性不同,所以网关具有的管理性能力不同。提出基于模块化物联网网关方式来管理不同的感知网络、不同的应用,保证能够使用统一的管理接口技术对末梢网络节点进行统一管理。协议转换能力
从不同的感知网络到接入网络的协议转换、将下层的标准格式的数据统一封装、保证不同的感知网络的协议能够变成统一的数据和信令;将上层下发的数据包解析成感知层协议可以识别的信令和控制指令。
四、综合物联网网关实现
SemitARM9200 开发板实物图及接口示意图
网关与单片机间的通信---Zigbee Zigbee是IEEE802.15.4协议的代名词。根据这个协议规定的技术是一种短距离、低功耗的无线通信技术。这一名称来源与蜜蜂的八字舞,由于蜜蜂(bee)是靠飞翔和“嗡嗡”(zig)地抖动翅膀的“舞蹈”来与同伴传递花粉所在方位信息,也就是说蜜蜂依靠这这样的方式构成了群体中的通信网络。其特点是近距离、低复杂度、低功耗、低数据速率、低成本。主要适合用于自动控制和远程控制领域,可以嵌入各种设备。
所要实现的通讯功能为:无线自足网络、点对多点无线通讯和点对点无线通讯。智能网关与单片机之间通信的建立都需要无线自组网络、建立连接、鉴权、通信几个过程。
开发板上的DEBUG COM与PC的串口1相连(串口线为公母线)。开发板上的ttys4与zigbee的主模块的串口相连(串口线为双公线)。
开发板接7.5V电源,zigbee主从模块都接7.5V电源给zigbee模块上电。
网关与服务器间的通讯---socket 网关与服务器间的通讯靠socket通讯来实现,通信双方分为服务器和客户端。服务器和客户端的通信采用TCP协议,通信软件流程如图所示。服务器端Socket客户端SocketbindbindlistenAcceptconnectRecv/recvfromSend/sendtoSend/sendtoRecv/recvfromcloseclose 程序分为客户端和服务器端,其中服务器首先建立起socket,然后本地端口绑定,接着就开始与客户端建立联系,并向客户端发送消息。客户端则在建立socket之后调用connect函数来建立连接。在运行时先启动服务器端,再启动客户端。
网关与WLAN终端设备间的通讯---IEEE802.11b/g 通过嵌入式主机上的802.11b/g无线模块向100米范围内的WLAN终端设备提供无线接入功能,并与WLAN终端进行无线数据传输。
IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps。目前,3Com等公司都有基于该标准的无线网卡。由于802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了802.11b和802.11a两个新标准。三者之间技术上的主要差别在于MAC子层和物理层。
可以通过脚本实现wifi连接。linux脚本有一些固定格式。程序必须以#!/bin/sh开始(必须方在文件的第一行),以#开头的句子表示注释。脚本中的某些命令执行需要一些时间,在该命令之后要加上sleep num(s例如sleep 5即等待5s)。根据这些规则直接将命令集合在一起就形成一个使用wifi网卡的脚本。
五、物联网网关发展前景
继计算机、互联网之后物联网的崛起掀起了世界信息产业发展的第三次浪潮。物联网架构可分为三层:感知层、网络层和应用层,其中连接感知层和网络层的关键技术即物联网网关。在物联网时代中,物联网网关将会是至关重要的环节。智能家居网关
智能家居模型 如图,电视机、洗衣机、空调、冰箱等家电设备。门禁、烟雾探测器、摄像头等安防设备,台灯、吊灯、电动窗帘等采光照明设备等,通过集成特定的通信模块,分别构成各自的自组网子系统。而在家庭物联网网关设备内部,集成了几套常用自组网通信协议,能够同时与使用不同协议的设备或子系统进行通信。用户只需对网关进行操作。便可以控制家里所有连接到网关的智能设备。车联网网关
车联网作为物联网应用做得比较好的行业之一,被国内学术界认为是第一个切实可行的物联网系统,已经通过国家专家组论证,预计投入2000个亿。上海辰汉电子CARMAN系统即多功能的车载终端与车联网网关二合一的产品。CARMAN系统基于国GB-T19056-2003/国家交通运输部行业标准的要求,集合数字化视频压缩存储和3G无线传输技术(Digital Video Record),结合GPS定位监控,汽车行驶记录仪,SD卡大容量存储,驾驶员IC卡身份识别,公交报站器,多路数据接口,车载蓝牙免提语音通话功能,倒车监控,WIFI热点,更有乘客舒适娱乐的车载MP3/MP4,车载影音,车载功放。3G视频传输技术,双码流传输,速率可调,传输更快,视频更清晰流畅。通过WCDMA或CDMA可以上传抓拍和报警图片。实现移动目标实时监控,做到实时传输监控视频和图像。系统自带的多媒体行驶记录分析软件可以实现4路图像同步回放,条件回放、剪辑存储、字符叠加、地理信息和行驶记录叠加、事件分析和记录提取功能。一体化结构极大的压缩了产品体积扩展了产品的性能,符合未来车联网网关的发展趋势。
物联网的概念由来已久,但是物联网的具体实现方式和组成架构一直都没有形成统一的意见。物联网网关作为其中一项关键性技术,有着开发成本高、开发周期长、软硬件不兼容、核心技术难以掌握、商业模式不确定、标准难以统一等诸多问题。高智能化物联网网关广泛应用于智慧城市、智能电网、智慧医疗、智能交通等各行各业。物联网网关在未来的物联网时代将会扮演着非常重要的角色。
第四篇:linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟
《linux网关及安全应用》理论课教案 第3章(配置iptables防火墙二)《linux网关及安全应用》理论课教案..........................................................................................1
一.课程回顾.......................................................................................................................1 二.本章工作任务(问题列表)...................................................................................................1 三.本章技能目标......................................................................................................................2 四.本章重点难点......................................................................................................................2
4.1课程重点.....................................................................................................................2 4.2课程难点.....................................................................................................................2 五.整章授课思路 [100分钟]..................................................................................................2
5.1本章授课思路:.........................................................................................................2 5.2预习检查、任务、目标部分 [10分钟]...................................................................2 5.3 技能点讲解[80分钟]................................................................................................3 5.4 总结
[6分钟] 采用提问方式,注意引导学员回答重点即可!........................7 六.布置作业:[4 分钟].........................................................................................................8
6.1本章作业.....................................................................................................................8 6.2 作业的提交方式与要求............................................................................................8 6.3 课后习题答案............................................................................................................8 七.习题...........................................................................................................................8 课时:2学时 授课人:焦可伟
一.课程回顾
1.iptables与netfilter的作用及区别是什么? 2.iptables命令的语法格式包括哪些组成部分?
3.若设置iptables规则时未指定表名,默认使用哪个表? 4.设置显式匹配条件时,需要注意什么? 5.防火墙对数据包的常见处理方式包括哪些?
二.本章工作任务(问题列表)1.公司使用Linux系统作为网关服务器,应如何设置才能使局域网用户接入Internet? 2.公司申请的唯一公网IP地址已被Linux网关服务器使用,而网站服务器在局域网内的另一台机器,在网关上应如何配置才能让Internet上的客户端访问该网站服务器?
3.在网关服务器上应做哪些设置,以便在家里也能通过Internet远程管理公司内部的服务器? 4.在Linux网关服务器上,如何限制内网用户使用QQ、MSN以及BT下载等?
三.本章技能目标
会使用SNAT策略配置共享上网
会使用DNAT策略发布企业内网的应用服务 会为Linux防火墙增加应用层过滤功能
四.本章重点难点 4.1课程重点
SNAT策略及其应用 DNAT策略及其应用 使用Layer7应用层过滤
4.2课程难点
SNAT的原理 DNAT的原理 重新编译Linux内核
(强调:这个知识点即是重点也是难点,需要在课上强调)五.整章授课思路 [100分钟] 5.1本章授课思路:
本章主要以案例的形式讲述iptables防火墙的几种典型企业应用:(1)、局域网共享上网;(2)、Internet中发布内网服务器;(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。
先讲解原理,再演示案例。章节内容共分三个小节。
5.2预习检查、任务、目标部分 [10分钟] 1)预习检查:(2分钟) Iptables的典型应用有哪些? 什么是SNAT 什么是DNAT Linux内核编译的概念 2)技能目标讲解:(4分钟)(一)会使用SNAT策略配置共享上网
(二)会使用DNAT策略发布企业内网的应用服务(三)会为Linux防火墙增加应用层过滤功能 3)课程结构:(4分钟)
5.3 技能点讲解[80分钟] 1)SNAT策略及应用 [20分钟] a)引入:介绍企业局域网接入Internet的需求,来引出iptables的应用SNAT。b)讲解要点:
SNAT策略的应用环境(通过SNAT实现共享上网)
SNAT策略的原理 通过SNAT实现MASQUERADE(IP地址伪装),主要强调在整个过程中,数据包在数据流中的变化。
重点是MASQUERADE的作用和特点。SNAT策略的应用
SNAT典型应用于局域网共享上网的接入,而处理数据包的切入时机,主要选择在路由选择之后(POSTROUTING)进行。
SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。
SNAT只能用于NAT表的POSTROUTING链。网关使用动态公网IP地址的情况
如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为 ppp0、ppp1等 c)课堂案例: 案例一:SNAT应用
iptables-t nat-A POSTROUTING-s 192.168.1.0/24
-o eth0-j SNAT--to-source 218.29.30.31 案例二:网关使用动态公网IP地址的情况
2)DNAT策略及应用[20分钟] a)引入:介绍在Internet中发布内网应用服务器的需求,引出DNAT的应用。b)讲解要点: DNAT策略的应用环境
在Internet中发布位于企业局域网内的服务器。DNAT策略的原理
目标地址转换,Destination Network Address Translation; 修改数据包的目标IP地址; DNAT策略的应用
通过DNAT策略同时修改目标端口号 使用形式:
只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可,即:
-j DNAT--to-destination 目标IP:目标端口 c)课堂案例: 案例一:DNAT策略应用
iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6
案例二:通过DNAT策略同时修改目标端口号
d)小结
采用提问方式,注意引导学员回答重点即可!
1.SNAT策略的核心用途是什么?
SNAT:修改数据包源地址 2.DNAT策略的核心用途是什么?
DNAT:修改数据包目标地址、目标端口 3.SNAT、DNAT策略在企业中包括哪些典型应用?
SNAT典型应用 —— 实现局域网用户共享单个公网IP地址接入Internet DNAT典型应用 —— 在Internet中发布局域网内的应用服务器(如网站、邮件等)4.如果企业的网关主机通过ADSL动态地址接入Internet网络,应如何设置共享上网策略?
公网IP地址为动态获取时,建议采用MASQUERADE策略代替SNAT策略,这样无需指定固定的转换IP地址
3)使用Layer7应用层过滤功能 [30分钟] a)引入:通过介绍现有iptables防火墙体系的不足,引出使用内核及防火墙扩展补丁的必要性。
iptables防火墙是基于内核中的netfilter机制的,因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b)讲解要点:
使用Layer7应用层过滤功能 默认 netfilter/iptables 体系的不足:
以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能
难以判断数据包对应于何种应用程序(如QQ、MSN)整体实现过程:
1.添加内核补丁,重新编译内核,并以新内核引导系统 2.添加iptables补丁,重新编译安装iptables 3.安装l7-protocols协议定义包
4.使用iptables命令设置应用层过滤规则 重新编译新内核
1.释放内核源码包,并合并补丁 2.配置内核编译参数:make menuconfig 3.需要配置哪些内核编译参数
4.重新编译新内核:make-->make modules_install-->make install 重新编译安装iptables工具 1.先卸载原有的iptables软件包
2.合并补丁,并编译安装新的iptables工具 安装L7-protocols协议定义包
解包后直接执行“make install”命令即可 设置应用层过滤规则
匹配格式:-m layer7--l7proto 协议名 协议定义文件位于:/etc/l7-protocols/protocols 支持以下常见应用层协议的过滤
qq:腾讯公司QQ程序的通讯协议
msnmessenger:微软公司MSN程序的通讯协议 msn-filetransfer:MSN程序的文件传输协议 bittorrent:BT下载类软件使用的通讯协议 xunlei:迅雷下载工具使用的通讯协议 edonkey:电驴下载工具使用的通讯协议 其他各种应用层协议:ftp、http、dns、imap、pop3„„ 规则示例:过滤使用qq协议的转发数据包
iptables-A FORWARD-m layer7--l7proto qq-j DROP 5.4 总结
[6分钟] 采用提问方式,注意引导学员回答重点即可!
提问:
(一)通过SNAT策略实现共享上网应用时,需要将内网访问Internet数据包的源IP地址修改为哪个地址?
(二)通过DNAT策略发布内网服务器时,主要针对访问哪个IP地址的数据包修改其目标地址?
(三)重新编译Linux内核时,执行“make menuconfig”步骤后建立的配置文件名称是什么(.config)?
六.布置作业:[4 分钟] 6.1本章作业
a)课后选择题:P77 b)课后简答题:P81 题1、2、3、4、5 c)抄写和背诵本章单词列表 d)完成本章实验案例
一、案例二
6.2 作业的提交方式与要求
a)课后选择题:把答案写在课本上
b)课后简答题:作业写在作业本上,下次上课提交 c)抄写和背诵本章单词列表:写在作业本上,至少5遍 d)完成本章实验案例一和案例二:提交实验报告
6.3 课后习题答案
1.2.3.4.5.B D CD BD AC 七.习题
1. 公司的网关服务器使用了Linux操作系统。网关上有两块网卡:其中eth0连接Internet,使用固定IP地址218.29.30.31/30;eth1连接局域网,使用固定IP地址192.168.1.1/24,局域网内各主机的默认网关设置为192.168.1.1,且已经设置了正确的DNS服务器,现需要在Linux网关主机中进行正确配置,以使192.168.1.0/24网段的局域网用户能够通过共享方式访问Internet。可以使用()A.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 B.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 C.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 D.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 正确答案:A 考点:配置SNAT策略实现局域网共享上网
[★★★] 2. 公司在ISP注册了域名www.xiexiebang.com,并对应于Linux网关的外网接口(eth0)地址:218.29.30.31,公司的网站服务器位于局域网内,IP地址为192.168.1.6,Internet用户可以通过访问www.xiexiebang.com来查看公司的网站内容。可以()A.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 B.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 C.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 D.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 正确答案:B 考点:配置DNAT策略发布内网的应用服务
[★★★] 3. 在对linux内核进行重新编译配置时,在字符界面下进入源码目录后,执行什么命令打开配置界面。A.make B.makeconfig C.make menuconfig D.menuconfig 正确答案:C 考点:通过重编译内核为防火墙添加应用层过滤功能
[★★]
第五篇:相比于NGFWs Web安全网关具备的四大优势
相比于NGFWs Web安全网关具备的四大优势
由于其本身的计算能力有限,NGFWs很难开展完整的恶意软件扫描,这样将会导致恶意软件捕获率的准确性大打折扣。
由于其本身的计算能力有限,NGFWs很难开展完整的恶意软件扫描,这样将会导致恶意软件捕获率的准确性大打折扣。相反,Web安全网关可以提供深度内容安全检测能力,而这也是基于数据包检测的NGFWs所无法实现的。
因此,相比于NGFWs,Web安全网关至少具备以下四大优势:
第一,Web安全网关可以实现外发与进入流量的双向恶意软件安全保护,并且可以实现基于Web的应用识别和访问控制。
第二,Web安全网关可以更好地提供移动应用的安全保护,并且可以实现基于云的服务交付模式,这是传统的防火墙或入侵防御系统(IPS)所无法实现的。
第三,对于已经部署过企业级防火墙的企业而言,进一步部署Web安全网关将会大大将强企业的深度内容安全保护能力,两者并非简单的取代关系。
第四,Web安全网关可以保护终端设备远离各种恶意软件的攻击,并且可以对网络中的Web流量实现监管与控制。换言之,Web安全网关可以提供各类过滤和对互联网的控制,同时促使有益的交互式Web应用程序更加安全地发挥作用。
对Web安全
网关而言,安全仍然是其主要目的。当前,高性能Web安全网关设备更加关注于针对内容的实时监测技术,而不仅仅是基于文件、URL分类、或者静态策略的保护技术。