linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟(精选5篇)

时间:2019-05-15 06:40:10下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟》。

第一篇:linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟

《linux网关及安全应用》理论课教案 第3章(配置iptables防火墙二)《linux网关及安全应用》理论课教案..........................................................................................1

一.课程回顾.......................................................................................................................1 二.本章工作任务(问题列表)...................................................................................................1 三.本章技能目标......................................................................................................................2 四.本章重点难点......................................................................................................................2

4.1课程重点.....................................................................................................................2 4.2课程难点.....................................................................................................................2 五.整章授课思路 [100分钟]..................................................................................................2

5.1本章授课思路:.........................................................................................................2 5.2预习检查、任务、目标部分 [10分钟]...................................................................2 5.3 技能点讲解[80分钟]................................................................................................3 5.4 总结

[6分钟] 采用提问方式,注意引导学员回答重点即可!........................7 六.布置作业:[4 分钟].........................................................................................................8

6.1本章作业.....................................................................................................................8 6.2 作业的提交方式与要求............................................................................................8 6.3 课后习题答案............................................................................................................8 七.习题...........................................................................................................................8 课时:2学时 授课人:焦可伟

一.课程回顾

1.iptables与netfilter的作用及区别是什么? 2.iptables命令的语法格式包括哪些组成部分?

3.若设置iptables规则时未指定表名,默认使用哪个表? 4.设置显式匹配条件时,需要注意什么? 5.防火墙对数据包的常见处理方式包括哪些?

二.本章工作任务(问题列表)1.公司使用Linux系统作为网关服务器,应如何设置才能使局域网用户接入Internet? 2.公司申请的唯一公网IP地址已被Linux网关服务器使用,而网站服务器在局域网内的另一台机器,在网关上应如何配置才能让Internet上的客户端访问该网站服务器?

3.在网关服务器上应做哪些设置,以便在家里也能通过Internet远程管理公司内部的服务器? 4.在Linux网关服务器上,如何限制内网用户使用QQ、MSN以及BT下载等?

三.本章技能目标

 会使用SNAT策略配置共享上网

 会使用DNAT策略发布企业内网的应用服务  会为Linux防火墙增加应用层过滤功能

四.本章重点难点 4.1课程重点

 SNAT策略及其应用  DNAT策略及其应用  使用Layer7应用层过滤

4.2课程难点

 SNAT的原理  DNAT的原理  重新编译Linux内核

(强调:这个知识点即是重点也是难点,需要在课上强调)五.整章授课思路 [100分钟] 5.1本章授课思路:

本章主要以案例的形式讲述iptables防火墙的几种典型企业应用:(1)、局域网共享上网;(2)、Internet中发布内网服务器;(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。

先讲解原理,再演示案例。章节内容共分三个小节。

5.2预习检查、任务、目标部分 [10分钟] 1)预习检查:(2分钟) Iptables的典型应用有哪些?  什么是SNAT  什么是DNAT  Linux内核编译的概念 2)技能目标讲解:(4分钟)(一)会使用SNAT策略配置共享上网

(二)会使用DNAT策略发布企业内网的应用服务(三)会为Linux防火墙增加应用层过滤功能 3)课程结构:(4分钟)

5.3 技能点讲解[80分钟] 1)SNAT策略及应用 [20分钟] a)引入:介绍企业局域网接入Internet的需求,来引出iptables的应用SNAT。b)讲解要点:

SNAT策略的应用环境(通过SNAT实现共享上网)

SNAT策略的原理 通过SNAT实现MASQUERADE(IP地址伪装),主要强调在整个过程中,数据包在数据流中的变化。

重点是MASQUERADE的作用和特点。SNAT策略的应用

SNAT典型应用于局域网共享上网的接入,而处理数据包的切入时机,主要选择在路由选择之后(POSTROUTING)进行。

SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。

SNAT只能用于NAT表的POSTROUTING链。网关使用动态公网IP地址的情况

如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为 ppp0、ppp1等 c)课堂案例: 案例一:SNAT应用

iptables-t nat-A POSTROUTING-s 192.168.1.0/24

-o eth0-j SNAT--to-source 218.29.30.31 案例二:网关使用动态公网IP地址的情况

2)DNAT策略及应用[20分钟] a)引入:介绍在Internet中发布内网应用服务器的需求,引出DNAT的应用。b)讲解要点: DNAT策略的应用环境

在Internet中发布位于企业局域网内的服务器。DNAT策略的原理

目标地址转换,Destination Network Address Translation; 修改数据包的目标IP地址; DNAT策略的应用

通过DNAT策略同时修改目标端口号 使用形式:

只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可,即:

-j DNAT--to-destination 目标IP:目标端口 c)课堂案例: 案例一:DNAT策略应用

iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6

案例二:通过DNAT策略同时修改目标端口号

d)小结

采用提问方式,注意引导学员回答重点即可!

1.SNAT策略的核心用途是什么?

SNAT:修改数据包源地址 2.DNAT策略的核心用途是什么?

DNAT:修改数据包目标地址、目标端口 3.SNAT、DNAT策略在企业中包括哪些典型应用?

SNAT典型应用 —— 实现局域网用户共享单个公网IP地址接入Internet DNAT典型应用 —— 在Internet中发布局域网内的应用服务器(如网站、邮件等)4.如果企业的网关主机通过ADSL动态地址接入Internet网络,应如何设置共享上网策略?

公网IP地址为动态获取时,建议采用MASQUERADE策略代替SNAT策略,这样无需指定固定的转换IP地址

3)使用Layer7应用层过滤功能 [30分钟] a)引入:通过介绍现有iptables防火墙体系的不足,引出使用内核及防火墙扩展补丁的必要性。

iptables防火墙是基于内核中的netfilter机制的,因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b)讲解要点:

使用Layer7应用层过滤功能 默认 netfilter/iptables 体系的不足:

 以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能

 难以判断数据包对应于何种应用程序(如QQ、MSN)整体实现过程:

1.添加内核补丁,重新编译内核,并以新内核引导系统 2.添加iptables补丁,重新编译安装iptables 3.安装l7-protocols协议定义包

4.使用iptables命令设置应用层过滤规则 重新编译新内核

1.释放内核源码包,并合并补丁 2.配置内核编译参数:make menuconfig 3.需要配置哪些内核编译参数

4.重新编译新内核:make-->make modules_install-->make install 重新编译安装iptables工具 1.先卸载原有的iptables软件包

2.合并补丁,并编译安装新的iptables工具 安装L7-protocols协议定义包

解包后直接执行“make install”命令即可 设置应用层过滤规则

 匹配格式:-m layer7--l7proto 协议名  协议定义文件位于:/etc/l7-protocols/protocols  支持以下常见应用层协议的过滤

 qq:腾讯公司QQ程序的通讯协议

 msnmessenger:微软公司MSN程序的通讯协议  msn-filetransfer:MSN程序的文件传输协议  bittorrent:BT下载类软件使用的通讯协议  xunlei:迅雷下载工具使用的通讯协议  edonkey:电驴下载工具使用的通讯协议 其他各种应用层协议:ftp、http、dns、imap、pop3„„  规则示例:过滤使用qq协议的转发数据包

iptables-A FORWARD-m layer7--l7proto qq-j DROP 5.4 总结

[6分钟] 采用提问方式,注意引导学员回答重点即可!

提问:

(一)通过SNAT策略实现共享上网应用时,需要将内网访问Internet数据包的源IP地址修改为哪个地址?

(二)通过DNAT策略发布内网服务器时,主要针对访问哪个IP地址的数据包修改其目标地址?

(三)重新编译Linux内核时,执行“make menuconfig”步骤后建立的配置文件名称是什么(.config)?

六.布置作业:[4 分钟] 6.1本章作业

a)课后选择题:P77 b)课后简答题:P81 题1、2、3、4、5 c)抄写和背诵本章单词列表 d)完成本章实验案例

一、案例二

6.2 作业的提交方式与要求

a)课后选择题:把答案写在课本上

b)课后简答题:作业写在作业本上,下次上课提交 c)抄写和背诵本章单词列表:写在作业本上,至少5遍 d)完成本章实验案例一和案例二:提交实验报告

6.3 课后习题答案

1.2.3.4.5.B D CD BD AC 七.习题

1. 公司的网关服务器使用了Linux操作系统。网关上有两块网卡:其中eth0连接Internet,使用固定IP地址218.29.30.31/30;eth1连接局域网,使用固定IP地址192.168.1.1/24,局域网内各主机的默认网关设置为192.168.1.1,且已经设置了正确的DNS服务器,现需要在Linux网关主机中进行正确配置,以使192.168.1.0/24网段的局域网用户能够通过共享方式访问Internet。可以使用()A.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 B.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 C.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 D.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 正确答案:A 考点:配置SNAT策略实现局域网共享上网

[★★★] 2. 公司在ISP注册了域名www.xiexiebang.com,并对应于Linux网关的外网接口(eth0)地址:218.29.30.31,公司的网站服务器位于局域网内,IP地址为192.168.1.6,Internet用户可以通过访问www.xiexiebang.com来查看公司的网站内容。可以()A.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 B.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 C.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 D.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 正确答案:B 考点:配置DNAT策略发布内网的应用服务

[★★★] 3. 在对linux内核进行重新编译配置时,在字符界面下进入源码目录后,执行什么命令打开配置界面。A.make B.makeconfig C.make menuconfig D.menuconfig 正确答案:C 考点:通过重编译内核为防火墙添加应用层过滤功能

[★★]

下载linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟(精选5篇)word格式文档
下载linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟(精选5篇).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式
相关专题 防火墙自身安全配置 防火墙安全配置

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐