Linux服务器配置与管理（第2版） 课件第20章 防火墙.pptx

第20章防火墙Linux服务器配置与管理

防火墙在现实生活中，安全一直是人们所重视的问题。在网络生活中其实也是一样的，随着互联网的迅速发展，网络带给人们的便利日益增多，极大地丰富了人们的生活；与此同时，网络安全问题也随之出现，比如近些年来病毒的一代代演变，个人信息在网络被窃取并利用等。网络安全问题成为了人们关注的焦点之一。为了稳定网络的运行，保证人们的信息安全且不被窃取利用，出现了众多的网络安全设备，它们分工明确，各自负责不同方面的安全问题。比如防火墙、入侵检测、入侵防御、隔离装置、杀毒软件、安全网关等。在网络世界中这些网络安全设备如何保证网络安全运行，保护个人信息不被窃取，也成了众多网络工作者的研究方向。防火墙作为大家非常熟悉的网络安全设备之一，那么它是如何保护我们的网络的呢？防火墙的工作原理又是怎样的？本章就来认识何为防火墙，在日常使用的服务器中，又该如何配置防火墙以保证网络安全。

目录01项目背景分析02防火墙相关知识03防火墙配置及实践04任务实战

01项目背景分析

图20.1A公司网络拓扑项目背景分析01防火墙（Firewall）作为大众非常熟悉的网络安全设备之一，在引入了防火墙的网络中，其网络拓扑如图所示，防火墙会将网络分为3个部分，分别为外部网络、内部网络和DMZ区域。防火墙一般部署于内网对外的边界处，用于保护内网不受外界网络入侵。防火墙的安全设置功能一般可以设置为禁止某些网络协议运行、进行IP地址转换、禁用端口等。

02防火墙相关知识

防火墙介绍01防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，可以有效地监控内部网络和外部网络之间的任何活动，保证了内部网络的安全。02防火墙，是一种硬件设备或软件系统，主要架设在内部网络和外部网络之间，目的是防止外界恶意程序对内部系统的破坏，或者阻止内部重要资讯向外流出，具有双向监督的功能。防火墙管理员通过设定可以弹性地调整安全性的等级。?一种位于内部网络与外部网络之间的网络安全系统。?一种维护信息安全的防护系统，依照访问控制策略，允许或是限制传输的数据通过。

路由模式防火墙的组网方式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时防火墙相当于一台路由器。在采用路由模式时，防火墙可以完成ACL规则检查、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置）。路由模式如右图所示。当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时防火墙相当于一台路由器。在采用路由模式时，防火墙可以完成ACL规则检查、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置）。路由模式如右图所示。1．路由模式所有接口都配置IP地址。各接口所在的安全区域是三层区域，接口连接的外部用户属于不同的子网。报文在三层区域的接口间进行转发时，根据报文的IP地址来查找路由表。路由模式

图20.3透明模式防火墙的组网方式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时防火墙相当于一台路由器。在采用路由模式时，防火墙可以完成ACL规则检查、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置）。路由模式如右图所示。当防火墙采用透明模式进行工作时，可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。在采用透明模式时，只需在网络中像放置网桥一样插入该防火墙设备即可，无须修改任何已有的配置。与路由模式相同，IP报文同样经过相关的过滤检查（但IP报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。透明模式如右图所示。1．路由模式接口都不能配置IP地址。防火墙两端的IP地址同属一个子网。报文进行转发时，需要根据报文的MAC地址来找出接