linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟

《linux网关及安全应用》理论课教案第3章（配置iptables防火墙二)《linux网关及安全应用》理论课教案..........................................................................................1一.课程回顾.......................................................................................................................1二.本章工作任务(问题列表)...................................................................................................1三.本章技能目标......................................................................................................................2四.本章重点难点......................................................................................................................24.1课程重点.....................................................................................................................24.2课程难点.....................................................................................................................2五.整章授课思路[100分钟]..................................................................................................25.1本章授课思路：.........................................................................................................25.2预习检查、任务、目标部分[10分钟]...................................................................25.3技能点讲解[80分钟]................................................................................................35.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！........................7六.布置作业：[4分钟].........................................................................................................86.1本章作业.....................................................................................................................86.2作业的提交方式与要求............................................................................................86.3课后习题答案............................................................................................................8七．习题...........................................................................................................................8课时：2学时授课人：焦可伟一.课程回顾1.iptables与netfilter的作用及区别是什么？2.iptables命令的语法格式包括哪些组成部分？3.若设置iptables规则时未指定表名，默认使用哪个表？4.设置显式匹配条件时，需要注意什么？5.防火墙对数据包的常见处理方式包括哪些？二.本章工作任务(问题列表)1.公司使用Linux系统作为网关服务器，应如何设置才能使局域网用户接入Internet？2.公司申请的唯一公网IP地址已被Linux网关服务器使用，而网站服务器在局域网内的另一台机器，在网关上应如何配置才能让Internet上的客户端访问该网站服务器？3.在网关服务器上应做哪些设置，以便在家里也能通过Internet远程管理公司内部的服务器？4.在Linux网关服务器上，如何限制内网用户使用QQ、MSN以及BT下载等？三.本章技能目标会使用SNAT策略配置共享上网会使用DNAT策略发布企业内网的应用服务会为Linux防火墙增加应用层过滤功能四.本章重点难点4.1课程重点SNAT策略及其应用DNAT策略及其应用使用Layer7应用层过滤4.2课程难点SNAT的原理DNAT的原理重新编译Linux内核(强调：这个知识点即是重点也是难点，需要在课上强调)五.整章授课思路[100分钟]5.1本章授课思路：本章主要以案例的形式讲述iptables防火墙的几种典型企业应用：(1)、局域网共享上网；(2)、Internet中发布内网服务器；(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。先讲解原理，再演示案例。章节内容共分三个小节。5.2预习检查、任务、目标部分[10分钟]1)预习检查：(2分钟)Iptables的典型应用有哪些？什么是SNAT什么是DNATLinux内核编译的概念2）技能目标讲解：(4分钟)(一)会使用SNAT策略配置共享上网(二)会使用DNAT策略发布企业内网的应用服务(三)会为Linux防火墙增加应用层过滤功能3)课程结构：(4分钟)5.3技能点讲解[80分钟]1)SNAT策略及应用[20分钟]a)引入：介绍企业局域网接入Internet的需求，来引出iptables的应用SNAT。b)讲解要点：SNAT策略的应用环境（通过SNAT实现共享上网）SNAT策略的原理通过SNAT实现MASQUERADE（IP地址伪装），主要强调在整个过程中，数据包在数据流中的变化。重点是MASQUERADE的作用和特点。SNAT策略的应用SNAT典型应用于局域网共享上网的接入，而处理数据包的切入时机，主要选择在路由选择之后(POSTROUTING)进行。SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。SNAT只能用于NAT表的POSTROUTING链。网关使用动态公网IP地址的情况如果是通过ADSL拨号方式连接Internet，则外网接口名称通常为ppp0、ppp1等c)课堂案例：案例一：SNAT应用iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jSNAT--to-source218.29.30.31案例二：网关使用动态公网IP地址的情况2)DNAT策略及应用[20分钟]a)引入：介绍在Internet中发布内网应用服务器的需求，引出DNAT的应用。b)讲解要点：DNAT策略的应用环境在Internet中发布位于企业局域网内的服务器。DNAT策略的原理目标地址转换，DestinationNetworkAddressTranslation；修改数据包的目标IP地址；DNAT策略的应用通过DNAT策略同时修改目标端口号使用形式：只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可，即：-jDNAT--to-destination目标IP:目标端口c)课堂案例：案例一：DNAT策略应用iptables-tnat-APREROUTING-ieth0-d218.29.30.31-ptcp--dport80-jDNAT--to-destination192.168.1.6案例二：通过DNAT策略同时修改目标端口号d)小结采用提问方式，注意引导学员回答重点即可！1.SNAT策略的核心用途是什么？SNAT：修改数据包源地址2.DNAT策略的核心用途是什么？DNAT：修改数据包目标地址、目标端口3.SNAT、DNAT策略在企业中包括哪些典型应用？SNAT典型应用——实现局域网用户共享单个公网IP地址接入InternetDNAT典型应用——在Internet中发布局域网内的应用服务器（如网站、邮件等）4.如果企业的网关主机通过ADSL动态地址接入Internet网络，应如何设置共享上网策略？公网IP地址为动态获取时，建议采用MASQUERADE策略代替SNAT策略，这样无需指定固定的转换IP地址3)使用Layer7应用层过滤功能[30分钟]a)引入：通过介绍现有iptables防火墙体系的不足，引出使用内核及防火墙扩展补丁的必要性。iptables防火墙是基于内核中的netfilter机制的，因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b)讲解要点：使用Layer7应用层过滤功能默认netfilter/iptables体系的不足：以基于网络层的数据包过滤机制为主，同时提供少量的传输层、数据链路层的过滤功能难以判断数据包对应于何种应用程序（如QQ、MSN）整体实现过程：1.添加内核补丁，重新编译内核，并以新内核引导系统2.添加iptables补丁，重新编译安装iptables3.安装l7-protocols协议定义包4.使用iptables命令设置应用层过滤规则重新编译新内核1.释放内核源码包，并合并补丁2.配置内核编译参数：makemenuconfig3.需要配置哪些内核编译参数4.重新编译新内核：make--makemodules_install--makeinstall重新编译安装iptables工具1.先卸载原有的iptables软件包2.合并补丁，并编译安装新的iptables工具安装L7-protocols协议定义包解包后直接执行“makeinstall”命令即可设置应用层过滤规则匹配格式：-mlayer7--l7proto协议名协议定义文件位于：/etc/l7-protocols/protocols支持以下常见应用层协议的过滤qq：腾讯公司QQ程序的通讯协议msnmessenger：微软公司MSN程序的通讯协议msn-filetransfer：MSN程序的文件传输协议bittorrent：BT下载类软件使用的通讯协议xunlei：迅雷下载工具使用的通讯协议edonkey：电驴下载工具使用的通讯协议其他各种应用层协议：ftp、http、dns、imap、pop3……规则示例：过滤使用qq协议的转发数据包iptables-AFORWARD-mlayer7--l7protoqq-jDROP5.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！提问：(一)通过SNAT策略实现共享上网应用时，需要将内网访问Internet