网络系统安全运行与维护教案32.doc

郑州铁路职业技术学院教案首页

序号：32

授课班级

信息安全22A1

信息安全22A2

授课日期

6.12

7.5

出勤情况

课程名称

网络系统安全运行与维护

教学类型

讲授

复习旧课

引入新课

复习旧课：

1、安装IPtables服务

2、使用IPtables配置防火墙

引入新课：M7-5Linux系统防火墙安装与配置（二）

教学目标

学生通过该能力模块的学习,能够独立完成和熟练掌握使用防火墙模块实现服务器的安全防御能力。

讲授要点

教学设计

讲授要点：

iptables

教学设计：

回顾上节内容

回顾iptables的安装与配置

引入本节内容

对比windows中防火墙的功能和设置，引入本节内容

任务实施

分3个实验步骤，完成IPtables的安全配置

课堂总结

重点难点

解决方法

重点：

iptables

难点：iptables

解决方法：讲解+上机操作

课后作业

总结IPtables配置防火墙的步骤

课后总结

防火墙的配置命令比较长，在输入时应该仔细认真检查。

郑州铁路职业技术学院教师教案

第

32-PAGE15

页

Linux系统防火墙安装与配置（二）

教学

过程

步骤

主要内容

教学组织

复习

复习FTP服务安装与配置过程

教师讲授，学生回忆

5分钟

任务

引入

在网络中利用Linux操作系统的防火墙模块来保护网络服务，不但可以保护内网和主机的服务，而且还可以利用其NAT规划链实现内网访问互联网。

教师讲授

5分钟

知识

讲授

iptables

iptables是与必威体育精装版的2.4.x版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

netfilter/iptablesIP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

虽然netfilter/iptablesIP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。

netfilter组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用RedHatLinux7.1或更高版本，否则需要下载该工具并安装使用它。

Linux内核中有一个功能强大的联网子系统filter子系统提供了有状态的或无状态的分组过滤，还提供了NAT和IP伪装服务。netfilter还具备为高级选路和连接状态管理而变形（mangle）IP头信息的能力。netfilter是通过IPTables工具来控制的。

这个命令行工具和它的前身IPChains的语法很相似；不过，IPTables使用netfilter子系统来增进网络连接、检验、和处理方面的能力；IPChains使用错综复杂的规则集合来过滤源地和目的地路线以及两者的连接端口。IPTables只在一个命令行界面中就包括了更先进的记录方式；选路前和选路后的行动；网络地址转换；以及端口转发。

那么，如何来使用使用IPTables呢？

使用IPTables的第一步是启动IPTables服务。

这个可以使用以下命令来进行：

serviceiptablesstart

特别提醒

你应该使用以下命令关闭IP6Tables服务才能正常使用IPTables服务：

serviceip6tablesstop

chkconfigip6tablesoff

另外，如果要使IPTables在系统引导时默认启动，你必须使用chkconfig来改变服务的运行级别状态。

chkconfig--level345iptableson

IPTables的语法被分成几个层次。主要层次为“链”（chain）。

“链”指定处理分组的状态。其用法为：

iptables-Achain-jtarget

-A在现存的规则集合内后补一条规则。

chain是规则所在“链”的名称。

IPTables中有三个内建的链（即影响每一个在网络中经过的分组的链）：

INPUT、OUTPUT、和FORWARD。

这些链是永久性的，不能