第一篇:實(shí)驗(yàn)三網(wǎng)絡(luò)服務(wù)的安裝與配置
北京理工大學(xué)珠海學(xué)院實(shí)驗(yàn)報(bào)告
ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 班級(jí):網(wǎng)絡(luò)2班 學(xué)號(hào):120205021 姓名: 指導(dǎo)教師:高樹風(fēng) 成績(jī) 實(shí)驗(yàn)題目:網(wǎng)絡(luò)服務(wù)的安裝與配置
實(shí)驗(yàn)時(shí)間:2013.11.22
第一部分、實(shí)驗(yàn)?zāi)康?/p>
1.了解并掌握DNS和IIS的安裝方法。
2.掌握DNS和IIS的基本配置方法以及驗(yàn)證DNS、IIS的方法。
第二部分、實(shí)驗(yàn)環(huán)境
1.操作系統(tǒng):Windows XP
2.所需軟件:Windows XP操作系統(tǒng)光盤內(nèi)容已復(fù)制到E盤下“Windows XP”文件夾下,安裝DNS和IIS服務(wù)所需文件(192.dns、boot、cache.dns、dns.exe、dnsmgr.dll、dnsperf.dll、dnsperf.h、dnsperf.ini、netdns.inf、place.dns)已拷貝到E盤“配置dns和iis所需文件”文件夾下。
3.實(shí)驗(yàn)分組:兩名同學(xué)一組,安裝和配置DNS和IIS,在客戶端進(jìn)行驗(yàn)證,然后一起觀察驗(yàn)證結(jié)果。
第三部分、實(shí)驗(yàn)內(nèi)容
1.安裝并配置DNS服務(wù)器和IIS。
2.配置www.tmdps.cnponents] NetOC;Top level option NetServices FileAndPrint SNMP
DNS 3.打開控制面板----添加或刪除程序----添加/刪除Windows組件,選擇“Internet信息服務(wù)(IIS)”,再單擊下面的“詳細(xì)信息”選擇文件傳輸協(xié)議(FTP)服務(wù)。
4.選擇DNS服務(wù):在“Windows組件向?qū)А贝翱冢x擇“網(wǎng)絡(luò)服務(wù)”,再點(diǎn)擊下面的“詳細(xì)信息”,在彈出的“網(wǎng)絡(luò)服務(wù)”窗口中只選擇“域名系統(tǒng)”,其他不選。然后點(diǎn)“確定”,返回到“Windows組件向?qū)А贝翱凇?/p>
5.在“Windows組件向?qū)А贝翱邳c(diǎn)“下一步”,出現(xiàn)下面右側(cè)窗口,點(diǎn)擊“瀏覽”,在E盤下 “Windows XP”文件夾下,在安裝DNS和IIS服務(wù)文件中找到dns.exe。點(diǎn)確定。
6.安裝IIS,(所需文件在自建的目錄以及Windows XP的I386目錄下可以找到)
7.禁用其他的虛擬網(wǎng),把DNS改成IP。
二.配置DNS
1.在“控制面板----管理工具”中打開“DNS”。
2.右鍵單擊“正向搜索區(qū)域”,在出現(xiàn)的菜單中點(diǎn)“新建區(qū)域”。3.出現(xiàn)新建區(qū)域?qū)颍c(diǎn)下一步。
4.默認(rèn)選擇“標(biāo)準(zhǔn)主要區(qū)域”,點(diǎn)下一步,出現(xiàn)對(duì)話框,在名稱處輸入“com”,點(diǎn)下一步,再點(diǎn)下一步,出現(xiàn)完成窗口,點(diǎn)擊完成即可。
4.在“com”處單擊右鍵,出現(xiàn)菜單,選擇“新建域”,在名稱處輸入“jsj”,確定后,在“jsj”處點(diǎn)右鍵,選新建主機(jī),輸入“net”和IP地址處輸入10.0.149.190“當(dāng)前使用的計(jì)算機(jī)的IP地址”。點(diǎn)“添加主機(jī)”, 單擊完成退出。
5.為該主機(jī)添加兩個(gè)別名(www.tmdps.cn、ping www.tmdps.cn和ftp.jsj.com,返回信息如下圖,則表示配置正確。至此完成了dns的初步配置。
三、配制www.tmdps.cn回車后,出現(xiàn)如下圖所示。則www.tmdps.cn”,出現(xiàn)讓說:“要想知道內(nèi)容請(qǐng)?jiān)谖募写蜷_!”打開后看見我從windows里復(fù)制的文件!ftp服務(wù)器安裝配置完成。
第五部分、結(jié)論
通過這次實(shí)驗(yàn),整理并總結(jié)架設(shè)www.tmdps.cn命令,說明DNS的作用。答:把域名轉(zhuǎn)換成為網(wǎng)絡(luò)可以識(shí)別的ip地址。2.如何控制FTP服務(wù)器的讀寫功能?
答:設(shè)置用戶目錄訪問的時(shí)候有只讀/讀寫等權(quán)限選擇!
新建完成后如上圖所示,接著按照相同的步驟新建另一個(gè)別名,完成后如下圖所示。7
第五部分、結(jié)論
此實(shí)驗(yàn)比較簡(jiǎn)單,幾分鐘就完成實(shí)驗(yàn)。細(xì)節(jié)是在導(dǎo)線排序的時(shí)候要認(rèn)真,不要搞錯(cuò)了!第六部分、思考
1,兩臺(tái)計(jì)算機(jī)通過五類雙絞線直接連接,雙絞線兩端應(yīng)分別使用什么標(biāo)準(zhǔn)?
答:應(yīng)該用交叉線T568A的標(biāo)準(zhǔn)
2,兩臺(tái)計(jì)算機(jī)通過交換機(jī)直接連接,雙絞線兩端應(yīng)分別使用什么標(biāo)準(zhǔn)?
答:應(yīng)該用平行線T568B的標(biāo)準(zhǔn)
第二篇:實(shí)驗(yàn)三 防火墻的配置
實(shí)驗(yàn)三 防火墻的配置
? 實(shí)驗(yàn)?zāi)康?/p>
1、了解防火墻的含義與作用
2、學(xué)習(xí)防火墻的基本配置方法
3、理解iptables工作機(jī)理
4、熟練掌握iptables包過濾命令及規(guī)則
5、學(xué)會(huì)利用iptables對(duì)網(wǎng)絡(luò)事件進(jìn)行審計(jì)
6、熟練掌握iptables NAT工作原理及實(shí)現(xiàn)流程
7、學(xué)會(huì)利用iptables+squid實(shí)現(xiàn)web應(yīng)用代理
? 實(shí)驗(yàn)原理
? 防火墻的基本原理
一.什么是防火墻
在古代,人們已經(jīng)想到在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢(shì)蔓延到別的寓所,于是有了“防火墻”的概念。
進(jìn)入信息時(shí)代后,防火墻又被賦予了一個(gè)類似但又全新的含義。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。
二.防火墻能做什么 1.防火墻是網(wǎng)絡(luò)安全的屏障
一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2.防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。
3.對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)
如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
4.防止內(nèi)部信息的外泄
通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名,最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度,這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng),這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。
除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
三.NAT NAT英文全稱是“Network Address Translation”,中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”,它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn),允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。
簡(jiǎn)單的說,NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí),就在網(wǎng)關(guān)(可以理解為出口,打個(gè)比方就像院子的門一樣)處,將內(nèi)部地址替換成公用地址,從而在外部公網(wǎng)(Internet)上正常使用,NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接,這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法,您可以只申請(qǐng)一個(gè)合法IP地址,就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí),NAT屏蔽了內(nèi)部網(wǎng)絡(luò),所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來說是不可見的,而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。這里提到的內(nèi)部地址,是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點(diǎn)的私有IP地址,這個(gè)地址只能在內(nèi)部網(wǎng)絡(luò)中使用,不能被路由(一種網(wǎng)絡(luò)技術(shù),可以實(shí)現(xiàn)不同路徑轉(zhuǎn)發(fā))。雖然內(nèi)部地址可以隨機(jī)挑選,但是通常使用的是下面的地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址,是指合法的IP地址,它是由NIC(網(wǎng)絡(luò)信息中心)或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址,對(duì)外代表一個(gè)或多個(gè)內(nèi)部局部地址,是全球統(tǒng)一的可尋址的地址。
NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。比如Cisco路由器中已經(jīng)加入這一功能,網(wǎng)絡(luò)管理員只需在路由器的IOS中設(shè)置NAT功能,就可以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的屏蔽。再比如防火墻將Web Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11,外部訪問202.96.23.11地址實(shí)際上就是訪問192.168.1.1。另外對(duì)資金有限的小型企業(yè)來說,現(xiàn)在通過軟件也可以實(shí)現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。
NAT有三種類型:靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。
其中靜態(tài)NAT設(shè)置起來最為簡(jiǎn)單和最容易實(shí)現(xiàn)的一種,內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。而動(dòng)態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。根據(jù)不同的需要,三種NAT方案各有利弊。
動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址,主要應(yīng)用于撥號(hào),對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后,動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址,用戶斷開時(shí),這個(gè)IP地址就會(huì)被釋放而留待以后使用。
網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與動(dòng)態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上,同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。
在Internet中使用NAPT時(shí),所有不同的信息流看起來好像來源于同一個(gè)IP地址。這個(gè)優(yōu)點(diǎn)在小型辦公室內(nèi)非常實(shí)用,通過從ISP處申請(qǐng)的一個(gè)IP地址,將多個(gè)連接通過NAPT接入Internet。實(shí)際上,許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這樣,ISP甚至不需要支持NAPT,就可以做到多個(gè)內(nèi)部IP地址共用一個(gè)外部IP地址訪問Internet,雖然這樣會(huì)導(dǎo)致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費(fèi)用和易管理的特點(diǎn),用NAPT還是很值得的。
? Windows 2003防火墻
Windows 2003提供的防火墻稱為Internet連接防火墻,通過允許安全的網(wǎng)絡(luò)通信通過防火墻進(jìn)入網(wǎng)絡(luò),同時(shí)拒絕不安全的通信進(jìn)入,使網(wǎng)絡(luò)免受外來威脅。Internet連接防火墻只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。
在Windows2003服務(wù)器上,對(duì)直接連接到Internet的計(jì)算機(jī)啟用防火墻功能,支持網(wǎng)絡(luò)適配器、DSL適配器或者撥號(hào)調(diào)制解調(diào)器連接到Internet。它可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵,防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描,從而提高Windows 2003服務(wù)器的安全性。同時(shí),它也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。
1.啟用/關(guān)閉防火墻
(1)打開“網(wǎng)絡(luò)連接”,右擊要保護(hù)的連接,單擊“屬性”,出現(xiàn)“本地連接屬性”對(duì)話框。
(2)選擇“高級(jí)”選項(xiàng)卡,單擊“設(shè)置”按鈕,出現(xiàn)啟動(dòng)/停止防火墻界面。如果要啟用 Internet 連接防火墻,請(qǐng)單擊“啟用(O)”按鈕;如果要禁用Internet 連接防火墻,請(qǐng)單擊“關(guān)閉(F)”按鈕。
2.防火墻服務(wù)設(shè)置
Windows 2003 Internet連接防火墻能夠管理服務(wù)端口,例如HTTP的80端口、FTP的21端口等,只要系統(tǒng)提供了這些服務(wù),Internet連接防火墻就可以監(jiān)視并管理這些端口。
(1)解除阻止設(shè)置。
在“例外”選項(xiàng)卡中,可以通過設(shè)定讓防火墻禁止和允許本機(jī)中某些應(yīng)用程序訪問網(wǎng)絡(luò),加上“√”表示允許,不加“√”表示禁止。如果允許本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò),則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”(如果不存在則可單擊“添加程序”按鈕進(jìn)行添加);如果禁止本機(jī)中某項(xiàng)應(yīng)用程序訪問網(wǎng)絡(luò),則將該項(xiàng)服務(wù)前的“√”清除(如果不存在同樣可以添加)。在“Windows防火墻阻止程序時(shí)通知我”選項(xiàng)前打“√”則在主機(jī)出現(xiàn)列表框中不存在的應(yīng)用程序欲訪問網(wǎng)絡(luò)時(shí),防火墻會(huì)彈出提示框詢問用戶是否允許該項(xiàng)網(wǎng)絡(luò)連接。
(2)高級(jí)設(shè)置。
在“高級(jí)”選項(xiàng)卡中,可以指定需要防火墻保護(hù)的網(wǎng)絡(luò)連接,雙擊網(wǎng)絡(luò)連接或單擊“設(shè)置”按鈕設(shè)置允許其他用戶訪問運(yùn)行于本主機(jī)的特定網(wǎng)絡(luò)服務(wù)。選擇“服務(wù)”選項(xiàng)卡,其中列舉出了網(wǎng)絡(luò)標(biāo)準(zhǔn)服務(wù),加上“√”表示允許,不加“√”表示禁止。如果允許外部網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)的某一項(xiàng)服務(wù),則在對(duì)話框中間列表中所列出該項(xiàng)服務(wù)前加“√”(如果不存在則可單擊“添加程序”按鈕進(jìn)行添加);如果禁止外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)的某一項(xiàng)服務(wù),則將該項(xiàng)服務(wù)前的“√”清除(如果不存在同樣可以添加)。選擇“ICMP”選項(xiàng)卡,允許或禁止某些類型的ICMP響應(yīng),建議禁止所有的ICMP響應(yīng)。
3.防火墻安全日志設(shè)置
Windows2003防火墻可以記錄所有允許和拒絕進(jìn)入的數(shù)據(jù)包,以便進(jìn)行進(jìn)一步的分析。在“高級(jí)”選項(xiàng)卡的“安全日志記錄”框中單擊“設(shè)置”按鈕,進(jìn)入“日志設(shè)置”界面。
如果要記錄被丟棄的包,則選中“記錄被丟棄的數(shù)據(jù)包”復(fù)選按鈕;如果要記錄成功的連接,則選中“記錄成功的連接”復(fù)選按鈕。
日志文件默認(rèn)路徑為C:WINDOWSpfirewall.log,用記事本可以打開,所生成的安全日志使用的格式為W3C擴(kuò)展日志文件格式,可以用常用的日志分析工具進(jìn)行查看分析。你也可以重新指定日志文件,而且還可以通過“大小限制”限定文件的最大使用空間。
「說明」 建立安全日志是非常必要的,在服務(wù)器安全受到威脅時(shí),日志可以提供可靠的證據(jù)。
? linux防火墻-iptable的應(yīng)用
一.iptables簡(jiǎn)介
從1.1內(nèi)核開始,linux就已經(jīng)具有包過濾功能了,在2.0的內(nèi)核中我們采用ipfwadm來操作內(nèi)核包過濾規(guī)則。之后在2.2內(nèi)核中,采用了大家并不陌生的ipchains來控制內(nèi)核包過濾規(guī)則。在2.4內(nèi)核中我們不再使用ipchains,而是采用一個(gè)全新的內(nèi)核包過濾管理工具—iptables。這個(gè)全新的內(nèi)核包過濾工具將使用戶更易于理解其工作原理,更容易被使用,當(dāng)然也將具有更為強(qiáng)大的功能。
實(shí)際上iptables只是一個(gè)內(nèi)核包過濾的工具,iptables可以加入、插入或刪除核心包過濾表格(鏈)中的規(guī)則。實(shí)際上真正來執(zhí)行這些過濾規(guī)則的是netfilter(Linux內(nèi)核中一個(gè)通用架構(gòu))及其相關(guān)模塊(如iptables模塊和nat模塊)。
netfilter提供了一系列的“表(tables)”,每個(gè)表由若干“鏈(chains)”組成,而每條鏈中有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解,netfilter是表的容器,表是鏈的容器,鏈又是規(guī)則的容器。
netfilter系統(tǒng)缺省的表為“filter”,該表中包含了INPUT、FORWARD和OUTPUT 3個(gè)鏈。每一條鏈中可以有一條或數(shù)條規(guī)則,每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個(gè)數(shù)據(jù)包”。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí),系統(tǒng)就會(huì)從第一條規(guī)則開始檢查,看是否符合該規(guī)則所定義的條件:如果滿足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;如果不滿足則繼續(xù)檢查下一條規(guī)則。最后,如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話,系統(tǒng)就會(huì)根據(jù)預(yù)先定義的策略(policy)來處理該數(shù)據(jù)包。
圖3-2-1 網(wǎng)絡(luò)數(shù)據(jù)包在filter表中的流程
數(shù)據(jù)包在filter表中的流程如圖3-2-1所示。有數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí),系統(tǒng)首先根據(jù)路由表決定將數(shù)據(jù)包發(fā)給哪一條鏈,則可能有三種情況:
(1)如果數(shù)據(jù)包的目的地址是本機(jī),則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會(huì)將這個(gè)包丟掉。
(2)如果數(shù)據(jù)包的目的地址不是本機(jī),也就是說,這個(gè)包將被轉(zhuǎn)發(fā),則系統(tǒng)將數(shù)據(jù)包送往FORWARD鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會(huì)將這個(gè)包丟掉。
(3)如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的,則系統(tǒng)將其送往OUTPUT鏈,如果通過規(guī)則檢查,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理;如果沒有通過規(guī)則檢查,系統(tǒng)就會(huì)將這個(gè)包丟掉。
當(dāng)我們?cè)谑褂胕ptables NAT功能的時(shí)候,我們所使用的表不再是“filter”表,而是“nat”表,所以我們必須使用“-t nat”選項(xiàng)來顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是“filter”,所以在使用filter功能時(shí),我們沒有必要顯式的指明“-t filter”。
同“filter”表一樣,nat表也有三條缺省的鏈,這三條鏈也是規(guī)則的容器,它們分別是:
(1)PREROUTING: 可以在這里定義進(jìn)行目的NAT的規(guī)則,因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的IP地址,為了使數(shù)據(jù)包得以正確路由,我們必須在路由之前就進(jìn)行目的NAT。
(2)POSTROUTING: 可以在這里定義進(jìn)行源NAT的規(guī)則,在路由器進(jìn)行路由之后才進(jìn)行源NAT。(3)OUTPUT: 定義對(duì)本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。二.NAT工作原理
NAT的基本思想是為每個(gè)企業(yè)分配一個(gè)IP地址(或者是很少幾個(gè))來進(jìn)行Internet傳輸。在企業(yè)內(nèi)部,每個(gè)電腦取得一唯一的IP地址來為內(nèi)部傳輸做路由。然而,當(dāng)封包離開企業(yè),進(jìn)入ISP之后,就需要進(jìn)行地址轉(zhuǎn)換了。為了使這個(gè)方案可行,IP地址的范圍被聲明為私有的,企業(yè)可以隨意在內(nèi)部使用他們。僅有的規(guī)則是,沒有包含這些地址的封包出現(xiàn)在Internet上。
「說明」 IP私有地址范圍是:10.0.0.0~10.255.255.255/
8、172.16.0.0 ~172.31.255.255/
12、192.168.0.0~192.168.255.255/16。
如圖3-2-2所示。在企業(yè)內(nèi)部,每個(gè)機(jī)器都有一個(gè)唯一的172.16.x.y形式的地址。然而,當(dāng)封包離開企業(yè)時(shí),它要經(jīng)過NAT轉(zhuǎn)盒,NAT盒將內(nèi)部IP源地址,即圖中的172.16.0.50轉(zhuǎn)換成企業(yè)的真實(shí)地址(這個(gè)地址對(duì)于Internet來說是可見的),此例中為202.198.168.150。NAT盒通常和防火墻一起綁定在一個(gè)設(shè)備上,這里的防火墻通過小心地控制進(jìn)出企業(yè)的封包提供了安全保障。
圖3-2-2 NAT地址轉(zhuǎn)換
三.iptables常用操作語法
對(duì)于任何協(xié)議及協(xié)議的擴(kuò)展,通用匹配都可以直接使用。(1)匹配指定協(xié)議。
匹配-p,--protocol/使用 iptables-A INPUT-p tcp-j ACCEPT/說明匹配指定的協(xié)議,指定協(xié)議的形式有以下幾種:①名字不分大小寫,但必須是在/etc/protocols中定義的;②可以使用協(xié)議相應(yīng)的整數(shù)值。例如,ICMP的值是1,TCP是6,UDP是17;③缺少設(shè)置ALL,相應(yīng)數(shù)值是0,要注意這只代表匹配TCP、UDP、ICMP,而不是/etc/protocols中定義的所有協(xié)議;④可以是協(xié)議列表,以英文逗號(hào)為分隔符,如:udp,tcp;⑤可以在協(xié)議前加英文的感嘆號(hào)表示取反,注意有空格,如:--protocol!tcp表示非TCP協(xié)議,也就是UDP和ICMP。可以看出這個(gè)取反的范圍只是TCP、UDP和ICMP。
(2)以IP源地址匹配包。
匹配-s,--src,--source/使用 iptables-A INPUT-s 192.168.0.1-j ACCEPT/說明以IP源地址匹配包。地址的形式如下:①單個(gè)地址,如192.168.0.1,也可寫成192.168.0.1/255.255.255.255或192.168.0.1/32;②網(wǎng)絡(luò),如192.168.0.0/24,或192.168.0.0/255.255.255.0;③在地址前加英文感嘆號(hào)表示取反,注意空格,如—source!192.168.0.0/24表示除此地址外的所有地址;④缺省是所有地址。
(3)以IP目的地址匹配包。
匹配-d,--dst,--destination/使用 iptables-A INPUT-d 192.168.0.1-j ACCEPT/說明以IP目的地址匹配包。地址的形式和—source完全一樣。
(4)以包進(jìn)入本地使用的網(wǎng)絡(luò)接口匹配包。
匹配-i/使用 iptables-A INPUT-i eth0-j ACCEPT/說明以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于INPUT,FORWARD和PREROUTING這三個(gè)鏈,用在其他任何地方會(huì)提示錯(cuò)誤信息。指定接口有以下方法:①指定接口名稱,如:eth0、ppp0等;②使用通配符,即英文加號(hào),它代表字符數(shù)字串。若直接用一個(gè)加號(hào),即iptables-A INPUT-i +表示匹配所有的包,而不考慮使用哪個(gè)接口。通配符還可以放在某一類接口的后面,如:eth+表示匹配所有從Ethernet接口進(jìn)入的包;③在接口前加英文感嘆號(hào)表示取反,如:-i!eth0意思是匹配來自除eth0外的所有包。
(5)以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。
匹配-o/使用 iptables-A OUTPUT-o eth1-j ACCEPT/說明以包離開本地所使用的網(wǎng)絡(luò)接口來匹配包。要注意這個(gè)匹配操作只能用于OUTPUT,FORWARD和POSTROUTING這三個(gè)鏈,用在其他任何地方會(huì)提示錯(cuò)誤信息。
(6)匹配通信源端口。
匹配--source-port,--sport/使用 iptables-A INPUT-p tcp--sport 1111/說明當(dāng)通信協(xié)議為TCP或UDP時(shí),可以指定匹配的源端口,但必須與匹配協(xié)議相結(jié)合使用。
(7)匹配通信源端口。
匹配--destination-port,--dport/使用 iptables-A INPUT-p tcp--dport 80/說明當(dāng)通信協(xié)議為TCP或UDP時(shí),可以指定匹配的目的端口,但必須與匹配協(xié)議相結(jié)合使用。
五.iptables功能擴(kuò)展 1.TCP擴(kuò)展
iptables可以擴(kuò)展,擴(kuò)展分為兩種:一種是標(biāo)準(zhǔn)的;另一種是用戶派生的。如果指定了“-p tcp”,那么TCP擴(kuò)展將自動(dòng)加載,通過--tcp-flags擴(kuò)展,我們指定TCP報(bào)文的哪些Flags位被設(shè)置,在其后跟隨兩個(gè)參數(shù):第一個(gè)參數(shù)代表Mask,指定想要測(cè)驗(yàn)的標(biāo)志位;第二個(gè)參數(shù)指定哪些位被設(shè)置。
例:設(shè)置iptables防火墻禁止來自外部的任何tcp主動(dòng)請(qǐng)求,并對(duì)此請(qǐng)求行為進(jìn)行事件記錄。
其中ULOG指定對(duì)匹配的數(shù)據(jù)包進(jìn)行記錄,由日志生成工具ULOG生成iptables防火日志,--log-prefix選項(xiàng)為記錄前綴。
2.ICMP擴(kuò)展
例:設(shè)置iptables防火墻允許來自外部的某種類型/代碼的ICMP數(shù)據(jù)包。
其中--icmp-type為擴(kuò)展命令選項(xiàng),其后參數(shù)可以是三種模式:(1)ICMP類型名稱(例如,host-unreachable)。(2)ICMP類型值(例如3)。(3)ICMP類型及代碼值(8/0)。六.狀態(tài)檢測(cè)
“狀態(tài)”的意思是指如果一個(gè)數(shù)據(jù)包是對(duì)先前從防火墻發(fā)出去的包的回復(fù),則防火墻自動(dòng)不用檢查任何規(guī)則就立即允許該數(shù)據(jù)包進(jìn)入并返回給請(qǐng)求者,這樣就不用設(shè)置許多規(guī)則定義就可實(shí)現(xiàn)應(yīng)用的功能。
我們可以把請(qǐng)求端與應(yīng)答端之間建立的網(wǎng)絡(luò)通信連接稱為網(wǎng)絡(luò)會(huì)話,每個(gè)網(wǎng)絡(luò)會(huì)話都包括以下信息——源IP地址、目標(biāo)IP地址、源端口、目的端口,稱為套接字對(duì);協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)(stateful)。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表,比簡(jiǎn)單的包過濾防火墻具有更大的安全性,而iptables就是一種基于狀態(tài)的防火墻。命令格式如下:
iptables-m state--state [!] state [,state,state,state] 其中,state表是一個(gè)由逗號(hào)分割的列表,用來指定連接狀態(tài),狀態(tài)分為4種:(1)NEW: 該包想要建立一個(gè)新的連接(重新連接或連接重定向)
(2)RELATED:該包是屬于某個(gè)已經(jīng)建立的連接所建立的新連接。舉例:FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。
(3)ESTABLISHED:該包屬于某個(gè)已經(jīng)建立的連接。(4)INVALID:該包不匹配于任何連接,通常這些包被DROP。七.NAT操作
前面提到在iptables防火墻中提供了3種策略規(guī)則表:Filter、Mangle和NAT,這3種表功能各不相同,而最為常用的就是filter和nat表。
nat表僅用于NAT,也就是網(wǎng)絡(luò)地址轉(zhuǎn)換。做過NAT操作的數(shù)據(jù)包的地址就被改變了,當(dāng)然這種改變是根據(jù)我們的規(guī)則進(jìn)行的。屬于流的包只會(huì)經(jīng)過這個(gè)表一次,經(jīng)一個(gè)包被允許做NAT,那么余下的包都會(huì)自動(dòng)地做相同的操作。也就是說,余下的包不會(huì)再通過這個(gè)表一個(gè)一個(gè)的被NAT,而是自動(dòng)完成的。常用操作分為以下幾類。
(1)SNAT(source network address translation,源網(wǎng)絡(luò)地址目標(biāo)轉(zhuǎn)換)。
SNAT是POSTROUTING鏈表的作用,在封包就要離開防火墻之前改變其源地址,這在極大程度上可以隱藏本地網(wǎng)絡(luò)或者DMZ等。比如,多個(gè)PC機(jī)使用路由器共享上網(wǎng),每個(gè)PC機(jī)都配置了內(nèi)網(wǎng)IP(私有IP),PC機(jī)訪問外部網(wǎng)絡(luò)的時(shí)候,路由器將數(shù)據(jù)包的報(bào)頭中的源地址替換成路由器的IP,當(dāng)外部網(wǎng)絡(luò)的服務(wù)器比如網(wǎng)站W(wǎng)eb服務(wù)器接到訪問請(qǐng)求的時(shí)候,它的日志記錄下來的路由器的IP,而不是PC機(jī)的內(nèi)網(wǎng)IP,這是因?yàn)椋@個(gè)服務(wù)器收到的數(shù)據(jù)包的報(bào)頭里邊的“源地址”已經(jīng)被替換了。所以叫做SNAT,基于源地址的地址轉(zhuǎn)換。
例如更改所有來自192.168.0.1/24的數(shù)據(jù)包的源IP地址為10.0.0.1,其iptables實(shí)現(xiàn)為:
(2)DNAT(destination network address translation,目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換)。
DNAT是PREROUTING鏈表的作用,在封包剛剛到達(dá)防火墻時(shí)改變其目的地址,以使包能重路由到某臺(tái)主機(jī)。典型的應(yīng)用是,有個(gè)Web服務(wù)器放在企業(yè)網(wǎng)絡(luò)DMZ區(qū),其配置了內(nèi)網(wǎng)IP地址,企業(yè)防火墻的的外網(wǎng)接口配置了企業(yè)唯一的公網(wǎng)IP,互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)IP來訪問這個(gè)網(wǎng)站,當(dāng)訪問的時(shí)候,客戶端發(fā)出一個(gè)數(shù)據(jù)包,這個(gè)數(shù)據(jù)包的報(bào)頭里邊,目標(biāo)地址寫的是防火墻的公網(wǎng)IP,然后再把這個(gè)數(shù)據(jù)包發(fā)送到DMZ區(qū)的Web服務(wù)器上,這樣,數(shù)據(jù)包就穿透了防火墻,并從公網(wǎng)IP變成了一個(gè)對(duì)DMZ區(qū)的訪問了。所以叫做DNAT,基于目標(biāo)的網(wǎng)絡(luò)地址轉(zhuǎn)換。
例如更改所有來自202.98.0.1/24的數(shù)據(jù)包的目的IP地址為192.168.0.1,其iptables實(shí)現(xiàn)為:
(3)REDIRECT(重定向)。
REDIRECT是DNAT的特殊情況是重定向,也就是所謂的Redirection,這時(shí)候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的IP地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)的網(wǎng)絡(luò)接口的IP地址。通常是在與squid配置形成透明代理時(shí)使用,假設(shè)squid的監(jiān)聽端口是3128,我們可以通過以下語句來將來自192.168.0.1/24,目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽:
(4)MASQUERADE(地址偽裝)。
在iptables中有著和SNAT相近的效果,但也有一些區(qū)別。在使用SNAT的時(shí)候,出口IP的地址范圍可以是一個(gè),也可以是多個(gè),例如把所有
192.168.0.0/2
4網(wǎng)段數(shù)據(jù)包
SNAT
成202.98.0.150/202.98.0.151/202.98.0.152等幾個(gè)IP然后發(fā)出去,其iptables實(shí)現(xiàn)為:
SNAT即可以NAT成一個(gè)地址,也可以NAT成多個(gè)地址。但是,對(duì)于SNAT來說不管是幾個(gè)地址,必須明確指定轉(zhuǎn)換的目標(biāo)地址IP。假如當(dāng)前系統(tǒng)用的是ADSL動(dòng)態(tài)撥號(hào)方式,那么每次撥號(hào),出口IP都會(huì)改變,而且改變的幅度很大,不一定是202.98.0.150到202.98.0.152范圍內(nèi)的地址,這個(gè)時(shí)候如果使用SNAT的方式來配置iptables就會(huì)出現(xiàn)麻煩了,因?yàn)槊看螕芴?hào)后出口IP都會(huì)變化,而iptables規(guī)則內(nèi)的IP是不會(huì)隨著自動(dòng)變化的,每次地址變化后都必須手工修改一次iptables,把規(guī)則里邊的固定的IP改成新的IP,這樣是非常不好用的。
MASQUERADE就是針對(duì)這種場(chǎng)景而設(shè)計(jì)的,它的作用是從防火墻外網(wǎng)接口上自動(dòng)獲取當(dāng)前IP地址來做NAT,比如下邊的命令:
八.防火墻應(yīng)用代理 1.代理服務(wù)器概述
在TCP/IP網(wǎng)絡(luò)中,傳統(tǒng)的通信過程是這樣的:客戶端向服務(wù)器請(qǐng)求數(shù)據(jù),服務(wù)器響應(yīng)該請(qǐng)求,將數(shù)據(jù)傳送給客戶端,如圖3-2-3所示。
圖3-2-3 直接訪問Internet 在引入了代理服務(wù)器以后,這一過程變成了這樣:客戶端向服務(wù)器發(fā)起請(qǐng)求,該請(qǐng)求被送到代理服務(wù)器;代理服務(wù)器分析該請(qǐng)求,先查看自己緩存中是否有請(qǐng)求數(shù)據(jù),如果有就直接傳遞給客戶端,如果沒有就代替客戶端向該服務(wù)器發(fā)出請(qǐng)求。服務(wù)器響應(yīng)以后,代理服務(wù)將響應(yīng)的數(shù)據(jù)傳遞給客戶端,同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣,再有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí),代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端,而不需要再向該服務(wù)器發(fā)起請(qǐng)求,如圖3-2-4所示。
圖3-2-4 通過代理服務(wù)器訪問Internet
2.代理服務(wù)器功能
一般說來,代理服務(wù)器具有以下的功能:(1)通過緩存增加訪問速度。
隨著Internet的迅猛發(fā)展,網(wǎng)絡(luò)帶寬變得越來越珍貴。所以為了提高訪問速度,好多ISP都提供代理服務(wù)器,通過代理服務(wù)器的緩存功能來加快網(wǎng)絡(luò)的訪問速度。一般說來,大多數(shù)的代理服務(wù)器都支持HTTP緩存,但是,有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時(shí),對(duì)于大多數(shù)的組織,只需要HTTP緩存功能就足夠了。
通常,緩存有主動(dòng)緩存被動(dòng)緩存之分。所謂被動(dòng)緩存,指的是代理服務(wù)器只在客戶端請(qǐng)求數(shù)據(jù)時(shí)才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存,如果數(shù)據(jù)過期了,又有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí),代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請(qǐng)求,在將響應(yīng)數(shù)據(jù)傳送給客戶端時(shí)又進(jìn)行新的緩存。所謂主動(dòng)緩存,就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù),一旦有數(shù)據(jù)過期,則代理服務(wù)器主動(dòng)發(fā)起新的數(shù)據(jù)請(qǐng)求來更新數(shù)據(jù)。這樣,當(dāng)有客戶端請(qǐng)求該數(shù)據(jù)時(shí)就會(huì)大大縮短響應(yīng)時(shí)間。對(duì)于數(shù)據(jù)中的認(rèn)證信息,大多數(shù)的代理服務(wù)器都不會(huì)進(jìn)行緩存的。
(2)提供用私有IP訪問Internet的方法。
IP地址是不可再生的寶貴資源,假如你只有有限的IP地址,但是需要提供整個(gè)組織的Internet訪問能力,那么,你可以通過使用代理服務(wù)器來實(shí)現(xiàn)這一點(diǎn)。
(3)提高網(wǎng)絡(luò)的安全性。
如果內(nèi)部用戶訪問Internet都是通過代理服務(wù)器,那么代理服務(wù)器就成為進(jìn)入Internet的唯一通道;反過來說,代理服務(wù)器也是Internet訪問內(nèi)部網(wǎng)絡(luò)的唯一通道,如果你沒有做反向代理,則對(duì)于Internet上的主機(jī)來說,你的整個(gè)內(nèi)部網(wǎng)只有代理服務(wù)器是可見的,從而大大增強(qiáng)了網(wǎng)絡(luò)的安全性。
3.傳統(tǒng)、透明和反向代理服務(wù)器(1)傳統(tǒng)代理服務(wù)器。
傳統(tǒng)代理常被用于緩存靜態(tài)網(wǎng)頁(例如:html文件和圖片文件等)到本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)上(即代理服務(wù)器)。不緩存的頁面被第二次訪問的時(shí)候,瀏覽器將直接從本地代理服務(wù)器那里獲取請(qǐng)求數(shù)據(jù)而不再向原Web站點(diǎn)請(qǐng)求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬,而且提高了訪問速度。但是,要想實(shí)現(xiàn)這種方式,必須在每一個(gè)內(nèi)部主機(jī)的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號(hào)。客戶端上網(wǎng)時(shí),每次都把請(qǐng)求給代理服務(wù)器處理,代理服務(wù)器根據(jù)請(qǐng)求確定是否連接到遠(yuǎn)程Web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件,則直接將文件傳給用戶即可。如果沒有的話則先取回文件,并在本地保存一份緩沖,然后將文件發(fā)給客戶端瀏覽器。
(2)透明代理服務(wù)器。
透明代理與傳統(tǒng)代理的功能完全相同。但是,代理操作對(duì)客戶端瀏覽器是透明的(即不需指明代理服務(wù)器的IP和端口)。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信,并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請(qǐng)求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶,如果在本地沒有緩沖則向遠(yuǎn)程Web服務(wù)器發(fā)出請(qǐng)求,其余操作和傳統(tǒng)代理服務(wù)器完全相同。對(duì)于Linux操作系統(tǒng)來說,透明代理使用iptables實(shí)現(xiàn)。因?yàn)椴恍枰獙?duì)瀏覽器作任何設(shè)置,所以,透明代理對(duì)于ISP來說特別有用。
(3)反向代理服務(wù)器。
反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始Web服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對(duì)原始Web服務(wù)器的靜態(tài)頁面的請(qǐng)求,防止原始服務(wù)器過載。如圖3-2-5所示,它位于本地Web服務(wù)器和Internet之間,處理所有對(duì)Web服務(wù)器的請(qǐng)求。如果互聯(lián)網(wǎng)用戶請(qǐng)求的頁面在代理器上有緩沖的話,代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向Web服務(wù)器發(fā)出請(qǐng)求,取回?cái)?shù)據(jù),本地緩存后再發(fā)送給用戶。這種方式通過降低了向Web服務(wù)器的請(qǐng)求數(shù)從而降低了Web服務(wù)器的負(fù)載。
圖3-2-5 反向代理服務(wù)器位于Internet與組織服務(wù)器之間
4.代理服務(wù)器squid簡(jiǎn)介
Squid是一個(gè)緩存Internet數(shù)據(jù)的一個(gè)開源軟件,它會(huì)接收用戶的下載申請(qǐng),并自動(dòng)處理所下載的數(shù)據(jù)。也就是說,當(dāng)一個(gè)用戶要下載一個(gè)主頁時(shí),他向squid發(fā)出一個(gè)申請(qǐng),要求squid替它下載,squid連接申請(qǐng)網(wǎng)站并請(qǐng)求該主頁,然后把該主頁傳給用戶同時(shí)保留一個(gè)備份,當(dāng)別的用戶申請(qǐng)同樣的頁面時(shí),squid把保存的備份立即傳給用戶,使用戶覺得速度相當(dāng)快。目前squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議,暫不能代理POP、NNTP等協(xié)議。但是已經(jīng)有人開始改進(jìn)squid,相信不久的將來,squid將能夠代理這些協(xié)議。
Squid不是對(duì)任何數(shù)據(jù)都進(jìn)行緩存。像信用卡賬號(hào)、可以遠(yuǎn)方執(zhí)行的Script、經(jīng)常變換的主頁等是不適合緩存的。Squid可以根據(jù)用戶的需要進(jìn)行設(shè)置,過濾掉不想要的東西。
Squid可用在很多操作系統(tǒng)中,如Digital Unix, FreeBSD, HP-UX, Linux, Solaris,OS/2等,也有不少人在其他操作系統(tǒng)中重新編譯過Squid。
Squid對(duì)內(nèi)存有一定的要求,一般不應(yīng)小于128M,硬盤最好使用服務(wù)器專用SCSI硬盤。
Squid是一個(gè)高性能的代理緩存服務(wù)器,和一般的代理緩存軟件不同,Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請(qǐng)求。
Squid將數(shù)據(jù)元緩存在內(nèi)存中,同時(shí)也緩存DNS查詢的結(jié)果。此外,它還支持非模塊化的DNS查詢,對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。Squid支持SSL,支持訪問控制。由于使用了ICP(輕量Internet緩存協(xié)議),Squid能夠?qū)崿F(xiàn)層疊的代理陣列,從而最大限度地節(jié)約帶寬。
Squid由一個(gè)主要的服務(wù)程序Squid,一個(gè)DNS查詢程序dnsserver,幾個(gè)重寫請(qǐng)求和執(zhí)行認(rèn)證的程序,以及幾個(gè)管理工具組成。當(dāng)Squid啟動(dòng)以后,它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程,而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢,這樣就減少了服務(wù)器等待DNS查詢的時(shí)間。
5.Squid常用配置選項(xiàng)
因?yàn)槿笔〉呐渲梦募荒苁筍quid正常啟動(dòng)服務(wù),所以我們必須首先修改該配置文件的有關(guān)內(nèi)容,才能讓Squid運(yùn)行起來。
下面是squid.conf文件的結(jié)構(gòu)。squid.conf配置文件的可以分為13個(gè)部分,這13個(gè)部分如下有所示。
雖然Squid的配置文件很龐大,但是如果你只是為一個(gè)中小型網(wǎng)絡(luò)提供代理服務(wù),并且只準(zhǔn)備使用一臺(tái)服務(wù)器,則只需要修改配置文件中的幾個(gè)選項(xiàng)。
6.Squid常用命令選項(xiàng)(1)端口號(hào)。
http_port指令告訴squid在哪個(gè)端口偵聽HTTP請(qǐng)求。默認(rèn)端口是3128:http_port 3128,如果要squid作為加速器運(yùn)行則應(yīng)將它設(shè)為80。
你能使用附加http_port行來指squid偵聽在多個(gè)端口上。例如,來自某個(gè)部門的瀏覽器發(fā)送請(qǐng)求3128,然而另一個(gè)部門使8080端口。可以將兩個(gè)端口號(hào)列舉出來:
http_port 3128 http_port 8080 Squid也可以使http_port指令偵聽在指定的接口地址上。squid作為防火墻運(yùn)行時(shí),它有兩個(gè)網(wǎng)絡(luò)接口:一個(gè)內(nèi)部的和一個(gè)外部的。你可能不想接受來自外部的http請(qǐng)求。為了使squid僅僅偵聽在內(nèi)部接口上,簡(jiǎn)單的將IP地址放在端口號(hào)前面:
http_port 192.168.1.1:3128(2)日志文件路徑。
默認(rèn)的日志目錄是squid安裝位置下的logs目錄,其路徑是/usr/local/squid/var/logs。
你必須確認(rèn)日志文件所存放的磁盤位置空間足夠。squid想確認(rèn)你不會(huì)丟失任何重要的日志信息,特別是你的系統(tǒng)被濫用或者被攻擊時(shí)。
Squid有三個(gè)主要的日志文件:cache.log、access.log和store.log。cache.log文件包含狀態(tài)性的和調(diào)試性的消息。access.log文件包含了對(duì)squid發(fā)起的每個(gè)客戶請(qǐng)求的單一行。每行平均約150個(gè)字節(jié)。假如因?yàn)槟承├碛桑悴幌雜quid記錄客戶端請(qǐng)求日志,你能指定日志文件的路徑為/dev/null。store.log文件對(duì)大多數(shù)cache管理員來說并非很有用。它包含了進(jìn)入和離開緩存的每個(gè)目標(biāo)的記錄。平均記錄大小典型的是175-200字節(jié)。
如果squid的日志文件增加沒有限制。某些操作系統(tǒng)對(duì)單個(gè)文件強(qiáng)制執(zhí)行2G的大小限制,即使你有充足的磁盤空間。超過該限制會(huì)導(dǎo)致寫錯(cuò)誤,squid就會(huì)退出。(3)訪問控制。
squid默認(rèn)的配置文件拒絕每一個(gè)客戶請(qǐng)求。在任何人能使用代理之前,你必須在squid.conf文件里加入附加的訪問控制規(guī)則。最簡(jiǎn)單的方法就是定義一個(gè)針對(duì)客戶IP地址的ACL和一個(gè)訪問規(guī)則,告訴squid允許來自這些地址的HTTP請(qǐng)求。squid有許多不同的ACL類型。src類型匹配客戶IP地址,squid會(huì)針對(duì)客戶HTTP請(qǐng)求檢查http_access規(guī)則。
acl MyNetwork src 192.168.0.0/16 http_access allow MyNetwork 請(qǐng)將這些行放在正確的位置。http_access的順序非常重要。在第一次編輯squid.conf文件時(shí),請(qǐng)看如下注釋:
在該注釋之后,以及“http_access deny all”之前插入新規(guī)則。(4)命令選項(xiàng)。
這里的很多選項(xiàng)在實(shí)際應(yīng)用中從不會(huì)使用,另外有些僅僅在調(diào)試問題時(shí)有用。
? 實(shí)驗(yàn)步驟
? Windows 2003防火墻
一.防火墻基礎(chǔ)操作
操作概述:?jiǎn)⒂脀indows2003系統(tǒng)防火墻,設(shè)置規(guī)則阻斷ICMP回顯請(qǐng)求數(shù)據(jù)包,并驗(yàn)證針對(duì)UDP連接工具的例外操作。
(1)在啟用防火墻之前,同組主機(jī)通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性,確保互相是連通的,若測(cè)試未通過請(qǐng)排除故障。
(2)本機(jī)啟用防火墻,并設(shè)置防火墻僅對(duì)“本地連接”進(jìn)行保護(hù)。
(3)同組主機(jī)再次通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性,確認(rèn)是否相互連通_______。(4)設(shè)置本機(jī)防火墻允許其傳入ICMP回顯請(qǐng)求。(5)第三次測(cè)試網(wǎng)絡(luò)連通性。二.防火墻例外操作
操作概述:?jiǎn)⒂脀indows2003系統(tǒng)防火墻,在“例外”選項(xiàng)卡中添加程序“UDPtools” 允許UDPtools間通信,并彈出網(wǎng)絡(luò)連接提示信息。
(1)關(guān)閉防火墻,同組主機(jī)間利用UDPtools進(jìn)行數(shù)據(jù)通信,確保通信成功。
「說明」 UDPtools通信雙方應(yīng)分別為客戶端和服務(wù)端,其默認(rèn)通過2513/UDP端口進(jìn)行通信,可以自定義通信端口,運(yùn)行如圖3-1-1所示。
圖3-1-1 UDP連接工具
(2)本機(jī)啟用防火墻(僅對(duì)本地連接),將本機(jī)作為UDPtools服務(wù)器端,同組主機(jī)以UDPtools客戶端身份進(jìn)行通信,確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。
(3)斷開UDPtools通信,單擊“例外”選項(xiàng)卡,在“程序和服務(wù)”列表框添加程序“UDPtools.exe”(C:JLCSSTOOLSAnalysertoolsUdpTools.exe)并將其選中。再次啟動(dòng)UDPtools并以服務(wù)器身份運(yùn)行,同組主機(jī)仍以客戶端身份與其通信,確定客戶端通信請(qǐng)求是否被防火墻阻塞_______。
三.NAT操作
操作概述:Windows Server 2003“路由和遠(yuǎn)程訪問”服務(wù)包括NAT路由協(xié)議。如果將NAT路由協(xié)議安裝和配置在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上,則使用專用IP地址的內(nèi)部網(wǎng)絡(luò)客戶端可以通過NAT服務(wù)器的外部接口訪問Internet。
圖3-1-2 實(shí)驗(yàn)網(wǎng)絡(luò)連接示意
參看圖3-1-2,當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)PC1發(fā)送要連接Internet主機(jī)PC2的請(qǐng)求時(shí),NAT協(xié)議驅(qū)動(dòng)程序會(huì)截取該請(qǐng)求,并將其轉(zhuǎn)發(fā)到目標(biāo)Internet主機(jī)。所有請(qǐng)求看上去都像是來自NAT器的外部連接IP地址,這樣就隱藏了內(nèi)部網(wǎng)絡(luò)主機(jī)。
在這里我們將windows Server 2003主機(jī)配置成為“路由和遠(yuǎn)程訪問”NAT服務(wù)器,并模擬搭建Internet網(wǎng)絡(luò)環(huán)境對(duì)NAT服務(wù)器進(jìn)行測(cè)試。
(1)實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)湟?guī)劃。
按圖3-1-2所示,本實(shí)驗(yàn)需3臺(tái)主機(jī)共同完成,其中一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“內(nèi)網(wǎng)主機(jī)PC1”,一臺(tái)主機(jī)扮演實(shí)驗(yàn)角色“外網(wǎng)主機(jī)PC2”,最后一臺(tái)主機(jī)扮演“NAT服務(wù)器”。
默認(rèn)外部網(wǎng)絡(luò)地址202.98.0.0/24;內(nèi)部網(wǎng)絡(luò)地址172.16.0.0/24,也可根據(jù)實(shí)際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。
默認(rèn)主機(jī)“本地連接”為內(nèi)部網(wǎng)絡(luò)接口;“外部連接“為外部網(wǎng)絡(luò)接口,也可指定“本地連接”為外部網(wǎng)絡(luò)接口。
(2)按步驟(1)中規(guī)劃分別為本機(jī)的“本地連接”、“外部連接”配置IP地址。
(3)配置NAT路由服務(wù)。依次單擊“開始”|“程序”|“管理工具”|“路由和遠(yuǎn)程訪問”,在“路由和遠(yuǎn)程訪問”MMC中,選擇要安裝NAT路由協(xié)議的服務(wù)器(這里為本地主機(jī)),右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”。
「注」 操作期間若彈出“為主機(jī)名啟用了Windows防火墻/Internet連接共享服務(wù)……”警告信息,請(qǐng)先禁用“Windows防火墻/Internet連接共享”服務(wù),后重試操作。具體做法:“開始”|“程序”| “管理工具”|“計(jì)算機(jī)管理”|“服務(wù)和應(yīng)用程序”|“服務(wù)”,在右側(cè)服務(wù)列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務(wù),先將其停止,然后在啟動(dòng)類型中將其禁用。
(4)在“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)”服務(wù)。
(5)在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡(luò)接口,該網(wǎng)絡(luò)接口對(duì)于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口,則此處應(yīng)選擇“外部連接”。
(6)本實(shí)驗(yàn)中沒有應(yīng)用到DHCP、DNS服務(wù),所以在“名稱和地址轉(zhuǎn)換服務(wù)”界面中選擇“我將稍后設(shè)置名稱和地址服務(wù)”。至最后完成路由和遠(yuǎn)程訪問配置。
(7)接下來的工作是對(duì)各NAT服務(wù)器進(jìn)行測(cè)試。下面以主機(jī)ABC為例進(jìn)行測(cè)試說明:參照?qǐng)D3-1-2,設(shè)定主機(jī)A為內(nèi)網(wǎng)主機(jī)PC1,將其內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”)的默認(rèn)網(wǎng)關(guān)指向主機(jī)B的內(nèi)部網(wǎng)絡(luò)接口(默認(rèn)為“本地連接”);設(shè)定主機(jī)C為外網(wǎng)主機(jī)PC2。內(nèi)網(wǎng)主機(jī)A通過ping指令對(duì)外網(wǎng)主機(jī)C做連通性測(cè)試。
(8)ICMP會(huì)話分析。在主機(jī)A做連通性測(cè)試的同時(shí),主機(jī)B打開“協(xié)議分析器”并定義過濾器,操作如下:依次單擊菜單項(xiàng)“設(shè)置”|“過濾器”,在“協(xié)議過濾”選項(xiàng)卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”,在彈出的“適配器選擇”界面中選擇“外部連接”,開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格,當(dāng)捕獲到數(shù)據(jù)時(shí)單擊“停止捕獲數(shù)據(jù)包”按鈕,依次展開“會(huì)話分析樹”|“ICMP會(huì)話”,如圖3-1-3所示。
圖3-1-3 在NAT服務(wù)器外部接口上監(jiān)聽到的ICMP會(huì)話
(9)結(jié)合ICMP會(huì)話分析結(jié)果說出ICMP數(shù)據(jù)包的傳輸(路由)過程_________。
? linux防火墻-iptable的應(yīng)用
一.包過濾實(shí)驗(yàn)
操作概述:為了應(yīng)用iptables的包過濾功能,首先我們將filter鏈表的所有鏈規(guī)則清空,并設(shè)置鏈表默認(rèn)策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則,依次允許同組主機(jī)icmp回顯請(qǐng)求、Web請(qǐng)求,最后開放信任接口eth0。iptables操作期間需同組主機(jī)進(jìn)行操作驗(yàn)證。
(1)清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。
(2)確定同組主機(jī)已清空filter鏈表后,利用nmap(/opt/portscan/目錄下)對(duì)同組主機(jī)進(jìn)行端口掃描。
nmap端口掃描命令________。
「說明」 nmap具體使用方法可查看實(shí)驗(yàn)6|練習(xí)1|TCP端口掃描。查看端口掃描結(jié)果,并填寫下表。
(3)查看INPUT、FORWARD和OUTPUT鏈默認(rèn)策略。iptables命令_________。
? ?(4)將INPUT、FORWARD和OUTPUT鏈默認(rèn)策略均設(shè)置為DROP。iptables命令_________。
確定同組主機(jī)已將默認(rèn)策略設(shè)置為DROP后,本機(jī)再次利用nmap其進(jìn)行端口掃描,查看掃描結(jié)果,并利用ping命令進(jìn)行連通性測(cè)試。
(5)利用功能擴(kuò)展命令選項(xiàng)(ICMP)設(shè)置防火墻僅允許ICMP回顯請(qǐng)求及回顯應(yīng)答。ICMP回顯請(qǐng)求類型__________;代碼__________。ICMP回顯應(yīng)答類型__________;代碼__________。iptables命令__________ 利用ping指令測(cè)試本機(jī)與同組主機(jī)的連通性。(6)對(duì)外開放Web服務(wù)(默認(rèn)端口80/tcp)。iptables命令__________ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描,查看掃描結(jié)果。
(7)設(shè)置防火墻允許來自eth0(假設(shè)eth0為內(nèi)部網(wǎng)絡(luò)接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對(duì)同組主機(jī)進(jìn)行端口掃描,查看掃描結(jié)果。二.事件審計(jì)實(shí)驗(yàn)
操作概述:利用iptables的日志功能檢測(cè)、記錄網(wǎng)絡(luò)端口掃描事件,日志路徑 /var/log/iptables.log。(1)根據(jù)實(shí)驗(yàn)原理(TCP擴(kuò)展)設(shè)計(jì)iptables包過濾規(guī)則,并應(yīng)用日志生成工具ULOG對(duì)iptables捕獲的網(wǎng)絡(luò)事件進(jìn)行響應(yīng)。
iptables命令__________(2)同組主機(jī)應(yīng)用端口掃描工具對(duì)當(dāng)前主機(jī)進(jìn)行端口掃描,并觀察掃描結(jié)果。(3)在同組主機(jī)端口掃描完成后,當(dāng)前主機(jī)查看iptables日志,對(duì)端口掃描事件進(jìn)行審計(jì),日志內(nèi)容如圖3-2-1所示。
圖3-2-1 iptables日志內(nèi)容
三.狀態(tài)檢測(cè)實(shí)驗(yàn)
操作概述:分別對(duì)新建和已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)。1.對(duì)新建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)(1)清空filter規(guī)則鏈全部?jī)?nèi)容。iptables命令__________(2)設(shè)置全部鏈表默認(rèn)規(guī)則為允許。iptables命令__________(3)設(shè)置規(guī)則禁止任何新建連接通過。iptables命令__________(4)同組主機(jī)對(duì)當(dāng)前主機(jī)防火墻規(guī)則進(jìn)行測(cè)試,驗(yàn)證規(guī)則正確性。2.對(duì)已建的網(wǎng)絡(luò)會(huì)話進(jìn)行狀態(tài)檢測(cè)
(1)清空filter規(guī)則鏈全部?jī)?nèi)容,并設(shè)置默認(rèn)規(guī)則為允許。
(2)同組主機(jī)首先telnet遠(yuǎn)程登錄當(dāng)前主機(jī),當(dāng)出現(xiàn)“l(fā)ogin:”界面時(shí),暫停登錄操作。telnet登錄命令_________(3)iptables添加新規(guī)則(狀態(tài)檢測(cè))——僅禁止新建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令___________ 或___________________ 同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作,嘗試輸入登錄用戶名“guest”及口令“guestpass”,登錄是否成功__________。
同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù),訪問是否成功__________。解釋上述現(xiàn)象______________________。
(4)刪除步驟(3)中添加的規(guī)則,并插入新規(guī)則(狀態(tài)檢測(cè))——僅禁止已建網(wǎng)絡(luò)會(huì)話請(qǐng)求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實(shí)驗(yàn)步驟(1)(2)(4)。同組主機(jī)續(xù)(1)步驟繼續(xù)執(zhí)行遠(yuǎn)程登錄操作,嘗試輸入登錄用戶名“guest”及口令 “guestpass”,登錄是否成功__________。
同組主機(jī)啟動(dòng)Web瀏覽器訪問當(dāng)前主機(jī)Web服務(wù),訪問是否成功__________。解釋上述現(xiàn)象_______________。
(5)當(dāng)前主機(jī)再次清空filter鏈表規(guī)則,并設(shè)置默認(rèn)策略為DROP,添加規(guī)則開放FTP服務(wù),并允許遠(yuǎn)程用戶上傳文件至FTP服務(wù)器。
iptables命令______________________________________ 四.NAT轉(zhuǎn)換實(shí)驗(yàn)
實(shí)驗(yàn)概述:圖3-2-2描述了NAT轉(zhuǎn)換實(shí)驗(yàn)所應(yīng)用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。內(nèi)網(wǎng)主機(jī)與NAT服務(wù)器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng));外網(wǎng)主機(jī)與NAT服務(wù)器eth1接口位于同一網(wǎng)絡(luò)(外網(wǎng));NAT服務(wù)器提供NAT轉(zhuǎn)換。通過設(shè)置nat服務(wù)器的iptables NAT規(guī)則,實(shí)現(xiàn)內(nèi)、外網(wǎng)主機(jī)間的通信數(shù)據(jù)包的地址轉(zhuǎn)換,達(dá)到屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與轉(zhuǎn)發(fā)外網(wǎng)主機(jī)請(qǐng)求端口的目的。
圖3-2-2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)
「說明」 本實(shí)驗(yàn)是在Linux系統(tǒng)下完成,Linux系統(tǒng)默認(rèn)安裝了2塊以太網(wǎng)卡,網(wǎng)絡(luò)接口分別為eth0和eth1,在設(shè)置NAT服務(wù)前請(qǐng)激活eth1網(wǎng)絡(luò)接口,命令ifconfig eth1 up。
1.確定各接口IP地址
本實(shí)驗(yàn)由ABC、DEF主機(jī)各為一實(shí)驗(yàn)小組。默認(rèn)實(shí)驗(yàn)角色:主機(jī)A為內(nèi)網(wǎng)主機(jī)、B為NAT服務(wù)器、C為外網(wǎng)主機(jī)。也可以自定義實(shí)驗(yàn)角色。
默認(rèn)內(nèi)網(wǎng)IP地址192.168.0.0/
24、外網(wǎng)IP地址202.98.0.0/24。配置完成內(nèi)網(wǎng)主機(jī)eth0接口IP地址及默認(rèn)網(wǎng)關(guān)(指向NAT服務(wù)器內(nèi)網(wǎng)接口),NAT服務(wù)器eth0和eth1接口IP地址,外網(wǎng)主機(jī)eth0接口IP地址,并完成下列問題的填寫:
內(nèi)網(wǎng)主機(jī)IP____________________,其默認(rèn)網(wǎng)關(guān)____________________; 外網(wǎng)主機(jī)IP____________________;
NAT服務(wù)器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。
內(nèi)網(wǎng)主機(jī)對(duì)NAT服務(wù)器內(nèi)網(wǎng)接口進(jìn)行連通性測(cè)試(ping);外網(wǎng)主機(jī)對(duì)NAT服務(wù)器外網(wǎng)接口進(jìn)行連通性測(cè)試(ping)。
2.設(shè)置防火墻規(guī)則允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)
操作流程:首先開啟NAT服務(wù)器的路由功能(開啟網(wǎng)絡(luò)接口間數(shù)據(jù)的轉(zhuǎn)發(fā)),清空filter鏈表全部規(guī)則,并設(shè)置其默認(rèn)策略為DROP;繼續(xù)設(shè)置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)入外網(wǎng),并允許任何返回流量回到內(nèi)網(wǎng);最后規(guī)則實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉(zhuǎn)發(fā)。
(1)NAT服務(wù)器開啟路由功能。
基于安全的考慮,默認(rèn)情況下Linux路由數(shù)據(jù)包的功能是關(guān)閉的,通過下述命令開啟系統(tǒng)路由功能:
(2)設(shè)置filter表規(guī)則鏈,默認(rèn)策略為禁止。iptables命令_______________________(3)添加filter表新規(guī)則,允許來自防火墻的流量進(jìn)入Internet;允許任何相關(guān)的返回流量回到防火墻。
iptables命令_______________________(4)添加filter表新規(guī)則,實(shí)現(xiàn)NAT服務(wù)器內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________(5)主機(jī)C啟動(dòng)Snort(/opt/ids/snort)以網(wǎng)絡(luò)嗅探方式運(yùn)行(設(shè)置過濾器僅監(jiān)聽icmp數(shù)據(jù)包),主機(jī)A ping探測(cè)主機(jī)C,是否ping通______?
將主機(jī)C的默認(rèn)網(wǎng)關(guān)指向NAT服務(wù)器的外網(wǎng)接口,主機(jī)A再次ping探測(cè)主機(jī)C,是否ping通__________?結(jié)合snort捕獲數(shù)據(jù),對(duì)比實(shí)驗(yàn)現(xiàn)象,說明原因:___________________。
3.設(shè)置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
操作流程:在實(shí)現(xiàn)步驟2的操作基礎(chǔ)上,添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。(1)NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart(2)重新操作步驟2(⑵~⑶)。
(3)添加nat表新規(guī)則,通過網(wǎng)絡(luò)地址翻譯實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換。iptables命令_______________________(4)添加filter表新規(guī)則,實(shí)現(xiàn)NAT內(nèi)部網(wǎng)絡(luò)接口eth0與外部網(wǎng)絡(luò)接口eth1之間的數(shù)據(jù)轉(zhuǎn)發(fā)。iptables命令_______________________(5)主機(jī)C重新將默認(rèn)網(wǎng)關(guān)指為空,重新啟動(dòng)Snort捕獲ICMP數(shù)據(jù)。主機(jī)A對(duì)主機(jī)C進(jìn)行ping探測(cè),是否ping通__________?主機(jī)C停止Snort監(jiān)聽,查看已捕獲到ICMP數(shù)據(jù),其源IP地址是__________?解釋實(shí)驗(yàn)象_____________________________________。
4.設(shè)置防火墻規(guī)則通過NAT實(shí)現(xiàn)外網(wǎng)請(qǐng)求端口轉(zhuǎn)發(fā)
操作流程:在實(shí)現(xiàn)步驟3的操作基礎(chǔ),添加nat表新規(guī)則實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉(zhuǎn)發(fā))。(1)NAT服務(wù)器重新啟動(dòng)iptables服務(wù)。service iptables restart(2)重新操作步驟3(⑵~⑷)。
(3)添加nat表新規(guī)則,實(shí)現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(80/tcp端口轉(zhuǎn)發(fā))。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉(zhuǎn)發(fā) iptables命令__________________(5)確定主機(jī)C默認(rèn)網(wǎng)關(guān)指為空,主機(jī)A和主機(jī)C啟動(dòng)Snort捕獲80/tcp數(shù)據(jù),主機(jī)C啟動(dòng)Web瀏覽器,在地址欄中輸入:http://202.98.0.150,觀察訪問結(jié)果,回答下列問題:
主機(jī)C訪問是否成功__________?若成功,其訪問的是哪臺(tái)主機(jī)的Web主頁__________(主機(jī)A/主機(jī)B)?
主機(jī)C停止Snort捕獲,觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。主機(jī)A停止Snort捕獲,觀察80/tcp會(huì)話的源、目的IP地址對(duì)__________________。解釋上述實(shí)驗(yàn)現(xiàn)象______________________________________________________。五.應(yīng)用代理實(shí)驗(yàn)
實(shí)驗(yàn)概述:使用iptables+squid方式來實(shí)現(xiàn)傳統(tǒng)代理、透明代理和反向代理。
實(shí)驗(yàn)角色說明如下:
內(nèi)網(wǎng)客戶端僅需啟用“本地連接”,其IP地址形式如下:172.16.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組編號(hào)(1-32),Y為主機(jī)編號(hào)(1-6),例如第4組主機(jī)A的IP地址為172.16.4.4。
代理服務(wù)器需要啟動(dòng)內(nèi)部網(wǎng)絡(luò)接口eth0和外部網(wǎng)絡(luò)接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端,外部IP地址形式如下:202.98.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組號(hào)(1-32),Y為主機(jī)編號(hào),例如第4組主機(jī)B的內(nèi)部IP地址為172.16.4.2,外部IP地址為202.98.4.2。
外網(wǎng)Web服務(wù)器僅需啟用“本地連接”,其IP地址形式如下:202.98.X.Y,子網(wǎng)掩碼255.255.255.0,其中X為所屬實(shí)驗(yàn)組號(hào)(1-32),Y為主機(jī)編號(hào)(1-6),例如第4組主機(jī)C的IP地址為202.98.4.3。
在進(jìn)行實(shí)驗(yàn)操作前,首先清空防火墻規(guī)則。1.傳統(tǒng)代理
(1)外網(wǎng)Web服務(wù)器手動(dòng)分配IP地址,并確認(rèn)本地Web服務(wù)已啟動(dòng)。
(2)代理服務(wù)器激活網(wǎng)絡(luò)接口eth1,并手動(dòng)分配IP地址,可通過以下兩種方式激活eth1: 通過“桌面”|“管理”|“網(wǎng)絡(luò)”激活eth1,并手動(dòng)分配IP地址; 在控制臺(tái)中輸入命令ifconfig eth1 up激活eth1,輸入命令ifconfig eth1 202.98.X.Y/24為eth1分配IP地址。(3)代理服務(wù)器配置squid。
代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf。在squid.conf中配置如下選項(xiàng):
第936行,使用默認(rèn)的端口http_port 3128;
第574行,添加行acl mynet src 主機(jī)A地址域。例如acl mynet src 172.16.1.0/24; 第610行,添加行http_access allow mynet。(4)運(yùn)行代理服務(wù)器
代理服務(wù)器進(jìn)入目錄/usr/local/squid/sbin/,輸入命令:./squid –NCd1啟動(dòng)代理服務(wù)。(5)通過代理訪問Web服務(wù)器
內(nèi)網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項(xiàng)”|“連接”|“局域網(wǎng)設(shè)置”選中“為L(zhǎng)AN使用代理服務(wù)器”,在“地址”中輸入代理服務(wù)器的內(nèi)網(wǎng)IP,在“端口”中輸入代理服務(wù)器的監(jiān)聽端口號(hào),單擊“確定”按鈕,完成瀏覽器設(shè)置。
內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄中輸入“http://外網(wǎng)Web服務(wù)器IP地址”,即可訪問到Web頁面。(6)驗(yàn)證代理服務(wù)器的作用
內(nèi)網(wǎng)客戶訪問外網(wǎng)Web服務(wù),是否可以訪問到頁面__________。
外網(wǎng)Web服務(wù)器關(guān)閉Web服務(wù),代理服務(wù)器訪問外網(wǎng)Web服務(wù),是否可以訪問到頁面__________。內(nèi)網(wǎng)客戶端再次訪問外網(wǎng)Web服務(wù),是否可以訪問到頁面__________,為什么?____________。2.透明代理
(1)外網(wǎng)Web服務(wù)器開啟Web服務(wù)。(2)代理服務(wù)器配置squid。
代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf,配置如下選項(xiàng): 第936行,修改為:http_port 主機(jī)B內(nèi)網(wǎng)IP:3128 transparent(3)代理服務(wù)器添加iptables規(guī)則。
對(duì)從代理服務(wù)器內(nèi)網(wǎng)接口進(jìn)入的、基于tcp協(xié)議的、目的端口是80的數(shù)據(jù)包,做“端口重定向”。將數(shù)據(jù)包重定向到3128端口,規(guī)則如下:
iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 80-j REDIRECT--to-ports 3128(4)運(yùn)行代理服務(wù)器。
(5)通過代理訪問Web服務(wù)器。
內(nèi)網(wǎng)客戶端將本地連接的“默認(rèn)網(wǎng)關(guān)”設(shè)置為代理服務(wù)器的內(nèi)網(wǎng)IP,即代理服務(wù)器的eth0網(wǎng)絡(luò)接口的IP。內(nèi)網(wǎng)客戶端打開IE瀏覽器,通過“工具”|“Internet選項(xiàng)”|“連接”|“局域網(wǎng)設(shè)置”,取消“為L(zhǎng)AN使用代理服務(wù)器”。
內(nèi)網(wǎng)客戶端在IE瀏覽器地址欄輸入“http://外網(wǎng)Web服務(wù)器的IP”,即可訪問到外網(wǎng)Web服務(wù)器的Web頁面。
3.反向代理
(1)內(nèi)網(wǎng)客戶端開啟Web服務(wù)。(2)代理服務(wù)器配置squid。
代理服務(wù)器進(jìn)入目錄/usr/local/squid/etc/,使用vim編輯器打開配置文件squid.conf,配置如下選項(xiàng): 第936行,修改為:http_port 主機(jī)B外網(wǎng)地址:80 vhost。
第1499行,添加行:cache_peer 主機(jī)A的IP parent 80 0 no-query originserver。第574行,修改為:acl outside src 主機(jī)C地址域。例如acl outside src 202.98.1.0/24。第610行,修改為:http_access allow outside。(3)停止代理服務(wù)器的Web服務(wù)。
在代理服務(wù)器的終端輸入命令:service httpd stop。(4)刪除緩存文件。
刪除目錄/usr/local/squid/var/cache/00/00下所有文件。(5)運(yùn)行代理服務(wù)器。
(6)外網(wǎng)通過代理訪問內(nèi)網(wǎng)客戶端Web服務(wù)
外網(wǎng)Web服務(wù)器在IE瀏覽器地址欄中輸入“http://代理服務(wù)器外網(wǎng)IP”即可訪問到內(nèi)網(wǎng)客戶端的Web頁面。
第三篇:機(jī)房設(shè)備配置安裝標(biāo)準(zhǔn)
機(jī)房設(shè)備配置安裝標(biāo)準(zhǔn)草案
一、基本要求
1、在機(jī)房裝修進(jìn)場(chǎng)前,必須組織裝修單位、水電施工單位、土建單位會(huì)審,確定機(jī)房所需水、電需求以及結(jié)合設(shè)備尺寸確定門高度、寬度,符合后期設(shè)備進(jìn)出機(jī)房的要求;
2、核算UPS電池組、精密空調(diào)、服務(wù)器等設(shè)備重量,計(jì)算機(jī)房樓板單位面積有效載荷是否符合要求,如達(dá)不到要求,協(xié)調(diào)土建單位對(duì)相應(yīng)區(qū)域進(jìn)行加固;
3、設(shè)備安裝前,機(jī)房必須符合如下幾個(gè)標(biāo)準(zhǔn):
(1)機(jī)房?jī)?nèi)所有裝修工序已全部完成,并符合設(shè)計(jì)的要求;(2)所有線纜已敷設(shè)進(jìn)入機(jī)房,并完成編號(hào)與線纜校接;(3)精密空調(diào)所需進(jìn)出水已連接到指定位置;(4)所需機(jī)房配電已送至設(shè)計(jì)位置并達(dá)到功率要求;(5)機(jī)房安全衛(wèi)生環(huán)境已達(dá)到設(shè)計(jì)要求;
二、機(jī)柜及控制臺(tái)安裝規(guī)程
1、安裝前必須檢查機(jī)柜排風(fēng)設(shè)備是否完好,設(shè)備托板數(shù)量是否齊全以及滑輪、支撐柱是否完好等;
2、機(jī)柜安裝標(biāo)準(zhǔn):
(1)機(jī)柜型號(hào)、規(guī)格,安裝位置,應(yīng)符合設(shè)計(jì)要求。機(jī)柜安裝垂直偏差度應(yīng)不大于3mm,水平誤差每平方米不應(yīng)大于2mm。幾個(gè)機(jī)柜并排在一起,面板應(yīng)在同一平面上并與基準(zhǔn)線平行,前后偏差不得大于3mm;兩個(gè)機(jī)柜中間縫隙不得大于3mm。對(duì)于相互有一定間隔而排成一列的設(shè)備,其面板前后偏差不得大于5mm;
(2)機(jī)柜的各種零件不得脫落或碰壞,漆面如有脫落應(yīng)預(yù)以補(bǔ)漆,各種標(biāo)志應(yīng)完整、清晰;
(3)機(jī)柜安裝應(yīng)牢固,有抗震要求時(shí),按施工圖的抗震設(shè)計(jì)進(jìn)行加固;(4)機(jī)柜不宜直接安裝在活動(dòng)地板上,宜按設(shè)備的底平面尺寸制作底座,底座直接與地面固定,機(jī)柜固定在底座上,然后鋪設(shè)活動(dòng)地板;(5)安裝機(jī)柜面板,架前應(yīng)預(yù)留有800mm空間,機(jī)柜背面離墻距離應(yīng)大于600mm,以便于安裝和施工;(6)壁掛式機(jī)柜距地面宜為1200mm;
(7)機(jī)柜內(nèi)的設(shè)備、部件的安裝,應(yīng)在機(jī)柜定位完畢并固定后進(jìn)行,安裝在機(jī)柜內(nèi)的設(shè)備應(yīng)牢固、端正;
(8)機(jī)柜上的固定螺絲、墊片和彈簧墊圈均應(yīng)按要求緊固不得遺漏;(9)卡入跳線架連接塊內(nèi)的單根線纜色標(biāo)應(yīng)和跳線架的色標(biāo)相一致,大對(duì)數(shù)線纜按標(biāo)準(zhǔn)色譜的組合規(guī)定進(jìn)行排序;
(10)端接于RJ45口的配線架的線序及排列方式按有關(guān)國(guó)際標(biāo)準(zhǔn)規(guī)定的兩種端接標(biāo)準(zhǔn)之一(T568A或T568B)進(jìn)行端接,但必須與信息插座模塊的線序排列一致;
(11)接線端子各種標(biāo)志應(yīng)齊全,數(shù)據(jù)配線架及交換機(jī)設(shè)備安裝完成后,標(biāo)貼機(jī)打標(biāo)簽:注明對(duì)應(yīng)房間號(hào)以及端口號(hào)。
3、控制臺(tái)安裝標(biāo)準(zhǔn):
(1)控制臺(tái)位置應(yīng)符合設(shè)計(jì)要求;(2)控制臺(tái)應(yīng)安放豎直,臺(tái)面水平;
(3)完整,無損傷,螺絲緊固,臺(tái)面整潔無劃痕;
(4)臺(tái)內(nèi)接插件和設(shè)備接觸應(yīng)可靠,安裝應(yīng)牢固;內(nèi)部接線應(yīng)符合設(shè)計(jì)要求,無扭曲脫落現(xiàn)象;
(5)控制臺(tái)后面板距墻不應(yīng)小于0.8m,兩側(cè)距墻不應(yīng)小于0.8m,正面操作距離不應(yīng)小于1.5m;
(6)控制臺(tái)的主電源引入線宜直接與電源連接,應(yīng)盡量避免用電源插頭;
三、設(shè)備安裝規(guī)程
1、控制室設(shè)備在上架安裝前逐個(gè)通電進(jìn)行檢測(cè),在設(shè)備處于正常工作狀態(tài)后,方可安裝;
2、監(jiān)視器(顯示器/DLP大屏)的安裝標(biāo)準(zhǔn):
(1)監(jiān)視器可裝設(shè)在固定的機(jī)柜和屏幕墻上,也可裝設(shè)在控制臺(tái)操作柜上。但必須采取通風(fēng)散熱措施;(2)監(jiān)視器的安裝位置應(yīng)使屏幕不受外來光直射,當(dāng)有不可避免的光時(shí),應(yīng)采取遮光措施;
(3)監(jiān)視器的外部可調(diào)節(jié)或控制部分,必須暴露在便于操作的位置。
3、不間斷電源施工標(biāo)準(zhǔn)
(1)不間斷電源的整流裝置、逆變裝置和靜態(tài)開關(guān)裝置的規(guī)格、型號(hào)必須符合設(shè)計(jì)要求。內(nèi)部接線連接正確,緊固件齊全,可靠不松動(dòng),焊接連接無脫落、虛焊現(xiàn)象;
(2)不間斷電源的輸入、輸出各級(jí)保護(hù)系統(tǒng)和輸出的電壓穩(wěn)定性、波形畸變系數(shù)、頻率、相位、靜態(tài)開關(guān)的動(dòng)作等各項(xiàng)技術(shù)性能指標(biāo)試驗(yàn)調(diào)整必須符合產(chǎn)品技術(shù)文件要求,且符合設(shè)計(jì)文件要求;
(3)不間斷電源裝置間連線的線間、線對(duì)地間絕緣電阻值應(yīng)大于0.5MΩ;
(4)不間斷電源輸出端的中性線(N級(jí)),必須與由接地裝置直接引來的接地干線相連接,做重復(fù)接地;
(5)安放不間斷電源的機(jī)柜組裝應(yīng)橫平豎直,水平度、垂直度允許偏差不應(yīng)大于1.5‰,緊固件齊全;
(6)引入或引出不間斷電源裝置的主回路電線、線纜和控制電線、線纜必須分別穿保護(hù)管敷設(shè),在線纜支架上平行敷設(shè)應(yīng)保持150mm的距離;電線、線纜的屏蔽護(hù)套接地連接可靠,與接地干線就近連接,緊固件齊全;
(7)不間斷電源裝置的可接近裸露導(dǎo)體應(yīng)接地(PE)或接零(PEN)可靠,且標(biāo)識(shí)清楚;
(8)不間斷電源正常運(yùn)行時(shí)產(chǎn)生的A聲級(jí)噪聲,不應(yīng)大于45dB;輸出額定電流為5A及以下的小型不間斷電源噪聲,不應(yīng)大于30dB。
4、接地與安全防護(hù)施工標(biāo)準(zhǔn)
(1)施工前對(duì)接地體設(shè)計(jì)位置的地下水位、土壤成分結(jié)構(gòu)、土壤導(dǎo)電率等狀況進(jìn)行檢查,各項(xiàng)檢查值是否符合技術(shù)規(guī)范要求;
(2)接地安裝應(yīng)配合土建施工同時(shí)進(jìn)行,做好隱蔽工程,室外接地極必須在場(chǎng)地平整前進(jìn)行開挖預(yù)埋;(3)機(jī)房?jī)?nèi)接地母線的路由、規(guī)格應(yīng)符合設(shè)計(jì)規(guī)定。施工時(shí)必須滿足下列要求:
1)接地母線表面應(yīng)完整,并應(yīng)無明顯錘痕以及殘余焊劑渣;銅帶母線應(yīng)光滑無毛刺。絕緣線的絕緣層不得有老化龜裂現(xiàn)象;
2)接地母線應(yīng)鋪放在地槽和線纜走道中央,或固定在架槽的外側(cè)。母線應(yīng)平整,不歪斜、不彎曲。母線與機(jī)柜或機(jī)頂?shù)倪B接應(yīng)牢固端正;
3)銅帶母線在線纜走道上應(yīng)采用螺絲固定。銅絞線的母線在線纜走道上 應(yīng)綁扎在梯鐵上;
4)施工完成后所有接地極的接地電阻必須進(jìn)行測(cè)量;經(jīng)測(cè)量達(dá)不到設(shè)計(jì)要求時(shí),應(yīng)在接地極回填土中加入無腐蝕性長(zhǎng)效降阻劑;當(dāng)仍達(dá)不到要求時(shí),應(yīng)經(jīng)過設(shè)計(jì)單位的同意,采取更換接地裝置的措施。系統(tǒng)采用專用接地裝置時(shí),其接地電阻不得大于4Ω;采用綜合接地網(wǎng)時(shí),其接地電阻不得大于1Ω;
四、設(shè)備安裝質(zhì)量驗(yàn)收
1、設(shè)備安裝質(zhì)量驗(yàn)收表式項(xiàng)目:
項(xiàng)目名稱、設(shè)備名稱、安裝要求、檢驗(yàn)方法、驗(yàn)收結(jié)果、雙方簽字。
2、驗(yàn)收項(xiàng)目及標(biāo)準(zhǔn)
(1)所有安裝設(shè)備必須全部進(jìn)行驗(yàn)收。
(2)現(xiàn)場(chǎng)觀察安裝質(zhì)量(工藝)是否牢固、整潔、美觀、規(guī)范。(3)檢查線纜連接,線纜到位,接插件可靠,電源線與信號(hào)線、控制線分開,走向順直,無扭絞等是否符合要求。
(4)檢查開關(guān)、按鈕等是否靈活、安全。
(5)檢查機(jī)柜、設(shè)備接地是否符合GB 50057等電位接地要求。(6)檢查機(jī)柜電線纜扎及標(biāo)識(shí)是否整齊,是否有明顯編號(hào)、標(biāo)識(shí)。(7)檢查電源引入線纜是否有明顯標(biāo)識(shí),引入線端標(biāo)識(shí)是否明顯、牢靠。
(8)對(duì)設(shè)備進(jìn)行通電測(cè)試,檢查設(shè)備是否運(yùn)行正常。
(9)雙方分別對(duì)檢查情況進(jìn)行詳細(xì)記錄,驗(yàn)收完畢后無異議,雙方簽字驗(yàn)收。
第四篇:實(shí)驗(yàn)三 數(shù)字證書的申請(qǐng)及安裝
實(shí)驗(yàn)二 數(shù)字證書的申請(qǐng)及安裝
【實(shí)驗(yàn)?zāi)康摹?/p>
1.了解認(rèn)證體系的體制結(jié)構(gòu)、功能、作用、業(yè)務(wù)范圍及運(yùn)行機(jī)制。2.掌握網(wǎng)上申請(qǐng)個(gè)人數(shù)字證書的方法。3.掌握數(shù)字證書的導(dǎo)入、導(dǎo)出和安裝。4.掌握數(shù)字證書的配置內(nèi)容及配置方法 5.了解數(shù)字證書的作用及使用方法
6.掌握使用數(shù)字證書訪問安全站點(diǎn)的方法 7.利用數(shù)字證書發(fā)送簽名郵件和加密郵件 【實(shí)驗(yàn)內(nèi)容】
1.登錄http://www.tmdps.cn,為自己申請(qǐng)?jiān)囉冒婢W(wǎng)證通數(shù)字證書。2.?dāng)?shù)字證書的導(dǎo)入和導(dǎo)出。3.發(fā)送數(shù)字簽名電子郵件 4.發(fā)送PKI加密郵件 【實(shí)驗(yàn)要求】
一.申請(qǐng)?jiān)囉眯蛿?shù)字證書。
1.為申請(qǐng)數(shù)字證書匹配環(huán)境,把安全設(shè)置調(diào)整為“中”
2.登錄http://www.tmdps.cn。3.訪問證書試用申請(qǐng)頁面,由于該申請(qǐng)頁面是安全連接,故如將出現(xiàn)安全警報(bào),單擊確定進(jìn)入頁面。
4.選擇郵件證書試用。
5.填寫并提交申請(qǐng)表格。在該頁中,你需要按照系統(tǒng)的提示填寫你的信息。填寫完后,按“繼續(xù)”,系統(tǒng)開始簽發(fā)你的數(shù)字證書。
6.在Internet選項(xiàng)——>內(nèi)容中選擇查看證書,確定證書已下載安裝。
二.證書的導(dǎo)入、導(dǎo)出 當(dāng)你需要在不同的計(jì)算機(jī)中使用同一張數(shù)字證書,或者重新安裝計(jì)算機(jī)準(zhǔn)備備份證書時(shí),就需要按照以下步驟首先將你的根證書和數(shù)字證書先后導(dǎo)出,在你需要使用該證書時(shí),再依次導(dǎo)入你的根證書和數(shù)字證書。
1. 數(shù)字證書的導(dǎo)出
(1)在IE中,選擇工具→Internet選項(xiàng)→ 內(nèi)容→證書,選擇個(gè)人標(biāo)簽欄,選擇你的數(shù)字證書,單擊“導(dǎo)出”按鈕,系統(tǒng)提示“歡迎使用證書導(dǎo)出向?qū)А保M(jìn)入證書管理器導(dǎo)出向?qū)С绦颉?/p>
(2)系統(tǒng)詢問是否將私鑰跟證書一起導(dǎo)出,選擇“是”,導(dǎo)出私鑰(如果你在申請(qǐng)數(shù)字證書時(shí)選擇的存儲(chǔ)介質(zhì)為非本地計(jì)算機(jī),此時(shí)系統(tǒng)導(dǎo)出私鑰項(xiàng)為虛)。
(3)下一步系統(tǒng)讓你選擇導(dǎo)出證書的格式,如果導(dǎo)出了私鑰的數(shù)字證書文件,則格式為PFX。
(4)在導(dǎo)出私鑰時(shí),系統(tǒng)會(huì)提示要求輸入私鑰保護(hù)密碼,為了防止第三方非法使用你的數(shù)字證書,請(qǐng)輸入你的私鑰保護(hù)密碼;然后根據(jù)系統(tǒng)提示進(jìn)行下一步;在出現(xiàn)的對(duì)話框中,你還需要選擇導(dǎo)出文件的路徑和文件名。至此,證書管理器導(dǎo)出向?qū)瓿蓪?dǎo)出任務(wù)。
2. 數(shù)字證書的導(dǎo)入
(1)啟動(dòng)IE,選擇 工具→Internet選項(xiàng)→內(nèi)容→證書→個(gè)人 標(biāo)簽欄,單擊“導(dǎo)入”按鈕,系統(tǒng)提示“歡迎使用證書導(dǎo)入向?qū)А保M(jìn)入導(dǎo)入向?qū)В幌乱徊较到y(tǒng)讓你選擇證書導(dǎo)入的文件。
(2)下一步,證書管理器導(dǎo)入向?qū)ё屇氵x擇證書存貯區(qū),一般選擇系統(tǒng)默認(rèn)值。當(dāng)顯示“完成證書管理器導(dǎo)入向?qū)А睍r(shí),單擊“完成”按鈕。這時(shí)系統(tǒng)提示輸入一個(gè)新的私人密鑰,設(shè)定私人密鑰后按確定,系統(tǒng)提示證書導(dǎo)入成功。
三.發(fā)送具有數(shù)字簽名的電子郵件 在發(fā)送簽名郵件之前,你首先要下載你的數(shù)字證書,即將你申請(qǐng)的數(shù)字證書導(dǎo)入到你的系統(tǒng)中;之后還必須將數(shù)字證書跟電子郵件綁定,也就是還必須完成“在Outlook Express中設(shè)置你的數(shù)字證書”使電子郵件帳號(hào)對(duì)應(yīng)相應(yīng)的數(shù)字證書;這些事做完之后才能發(fā)送數(shù)字簽名電子郵件。
1. 在 Outlook Express 中設(shè)置數(shù)字證書。
1)在 Outlook Express 中,添加賬號(hào),具體步驟參考教材117頁9.2 Outlook Express的使用。單擊“工具”菜單中的“帳號(hào)”。
2)選取“郵件”選項(xiàng)卡中用于發(fā)送安全郵件的郵件帳號(hào),單擊屬性。3)選取安全選項(xiàng)卡中的“從以下地點(diǎn)發(fā)送安全郵件時(shí)使用數(shù)字標(biāo)識(shí)”復(fù)選框,然后單擊數(shù)字證書按健。
注意:對(duì)于EXPRESS比較新的版本按默認(rèn)設(shè)置就可以了,你可以在工具,選項(xiàng),安全,數(shù)字標(biāo)識(shí)中看到證書信息。
4)選擇與該帳號(hào)有關(guān)的數(shù)字證書(只顯示與該帳號(hào)相對(duì)應(yīng)的電子郵箱的數(shù)字證書)。
5)如果想查看證書,請(qǐng)單擊查看證書,你將會(huì)看到詳細(xì)的證書信息。點(diǎn)擊確定,設(shè)置完畢。
2. 發(fā)送簽名電子郵件 用你自己的安全電子郵件證書,發(fā)一封簽名郵件,內(nèi)容將你的安全電子郵件證書的信息(包括你的公鑰),主題為你的學(xué)號(hào)和姓名。
1)打開Outlook Express,單擊新郵件按鈕,撰寫新郵件;
2)選取 工具 菜單中的 數(shù)字簽名。在信的右上角將會(huì)出現(xiàn)一個(gè)簽名的標(biāo)記。
3)點(diǎn)擊“發(fā)送”。發(fā)送數(shù)字簽名郵件即告完成。
4)當(dāng)收件人打開信件時(shí),可以看到有數(shù)字簽名的郵件被 所標(biāo)示,打開數(shù)字簽名的郵件時(shí),將看到“數(shù)字簽名郵件”的提示信息。
5)按“繼續(xù)”按鈕后可閱讀到該郵件的內(nèi)容。若郵件在傳輸過程中被他人篡改或發(fā)信人的數(shù)字證書有問題,頁面將出現(xiàn)“安全警告”提示。
四.發(fā)送加密郵件
要將電子郵件加密,首先你需要有收件人的數(shù)字證書。1. 獲得對(duì)方的數(shù)字證書
方法:從帶有數(shù)字簽名的電子郵件中添加 1)讓對(duì)方給你發(fā)送有其數(shù)字簽名的郵件。
2)將該郵件打開,然后請(qǐng)單擊“文件”菜單中的“屬性”。
3)選取“安全”選項(xiàng)卡并單擊“將數(shù)字標(biāo)識(shí)添加到通訊簿中”按鈕,這樣對(duì)方數(shù)字證書就被添加到你的“通訊簿”之中了。
4)你可以在Internet Explorer的“工具→Internet選項(xiàng)→內(nèi)容→證書→其他人”中查看到對(duì)方的數(shù)字證書。
2. 發(fā)送加密郵件
1)撰寫好信件后,選取“工具”菜單中的“加密”。2)這時(shí),信的右上角將會(huì)出現(xiàn)一個(gè)加密的標(biāo)記。3)點(diǎn)擊“發(fā)送”。發(fā)送加密郵件即告完成。
4)當(dāng)收件人收到并打開已加密過的郵件時(shí),將看到“加密郵件”的提示信息。
5)按“繼續(xù)”按鈕后,可閱讀到該郵件的內(nèi)容。
當(dāng)收到加密郵件時(shí),完全有理由確認(rèn)郵件沒有被其他任何人閱讀或篡改過,因?yàn)橹挥性谑占俗约旱挠?jì)算機(jī)上安裝了正確的數(shù)字證書,Outlook Express才能自動(dòng)解密電子郵件;否則,郵件內(nèi)容將無法顯示。也就是說:只有收件人的數(shù)字證書中收藏了打開密鎖的“鑰匙”。
第五篇:Oracle 的安裝與配置實(shí)驗(yàn)報(bào)告
Oracle 的安裝與配置實(shí)驗(yàn)報(bào)告
班 級(jí):10網(wǎng)工三班
學(xué)生姓名:謝昊天
學(xué)號(hào):1215134046
實(shí)驗(yàn)?zāi)康暮鸵螅?/p>
掌握Oracle的基本安裝方法。掌握Oracle 10g的網(wǎng)絡(luò)配置。能夠使用DBCA創(chuàng)建數(shù)據(jù)庫(kù)。
實(shí)驗(yàn)內(nèi)容:
1、Oracle 10g的安裝。
2、Oracle 10g的網(wǎng)絡(luò)配置。
3、使用DBCA創(chuàng)建數(shù)據(jù)庫(kù)。
實(shí)驗(yàn)步驟與調(diào)試過程:
安裝oracle:
1、執(zhí)行Oracle10g中的安裝文件,點(diǎn)擊setup開始Oracle 10g的安裝
2、出現(xiàn)“選擇要使用的安裝方法”窗口選擇高級(jí)安裝,點(diǎn)擊下一步。
3、所需安裝的路徑,點(diǎn)擊下一步;
4、在此可以選擇企業(yè)版,點(diǎn)擊下一步
5、選擇“創(chuàng)建啟動(dòng)數(shù)據(jù)庫(kù)”
6、選擇“創(chuàng)建象樣本方案的數(shù)據(jù)庫(kù)”選項(xiàng)),點(diǎn)擊下一步。
7、選擇默認(rèn)設(shè)置,即“使用Database Console管理數(shù)據(jù)庫(kù)”,以便在本地對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理。單擊“下一步”按鈕。
8、指定數(shù)據(jù)庫(kù)文件存儲(chǔ)選項(xiàng)選擇默認(rèn)設(shè)置,單擊“下一步”按鈕。
9、即選中“不啟用自動(dòng)備份”單選按鈕,單擊“下一步”按鈕
10、選擇“所有用戶都使用同一個(gè)口令”選項(xiàng),口令輸入oracle
11、“概要”窗口按照全局設(shè)置、產(chǎn)品語言、空間要求、新安裝組件分類顯示安裝設(shè)置。可以先在概要窗口中檢查一下這些設(shè)置是否滿意,如不滿意可以單擊“上一步”按鈕,返回到前一個(gè)步驟修改。
12、單擊“口令管理”按鈕,彈出“口令管理”窗口。
13、口令管理窗口。可以分別為SYS、SYSTEM、SCOTT用戶設(shè)置口令。
14、安裝完成,點(diǎn)擊退出按鈕,退出Oracle universal installer。可以記下該頁面上面的文本內(nèi)容,將來通過web訪問控制oracle。
15、配置Oracle 10g網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)配置
1、安裝目錄中點(diǎn)擊Net Manager,進(jìn)入如下界面。
2、選擇協(xié)議,這里選擇TCP/IP
3、輸入主機(jī)的IP地址或名稱,然后輸入端口號(hào)。
4、選擇服務(wù)器。
5、通過網(wǎng)頁打開登陸界面進(jìn)行驗(yàn)證。
創(chuàng)建DBCA數(shù)據(jù)庫(kù)。
1、開始菜單中的Database Configuration Assistant(DBCA),單擊下一步。
2、選擇創(chuàng)建數(shù)據(jù)庫(kù),單擊下一步,“數(shù)據(jù)庫(kù)模板”窗口,單擊常規(guī)用途模板,然后單擊下一步。
3、輸入全局?jǐn)?shù)據(jù)庫(kù)名和SID,保持configure the Database with Enterprise Manager被選中,“數(shù)據(jù)庫(kù)連接選項(xiàng)”窗口,選擇在缺省情況下您需要您的數(shù)據(jù)庫(kù)工作的模式。單擊未用模式或分享服務(wù)器模式并單擊下一步。
4、“初始化參數(shù)”窗口的字符集選項(xiàng)卡上,單擊使用 Unicode(AL32UTF8)。
5、當(dāng)數(shù)據(jù)庫(kù)創(chuàng)建過程完成時(shí),單擊完成。
實(shí)驗(yàn)結(jié)果:
1、oracle安裝完成,可以通過web訪問控制oracle。
2、oracle安裝成功后可以通查看服務(wù),也可以通過sqlplus+用戶名/密碼來進(jìn)行驗(yàn)證。
3、網(wǎng)絡(luò)配置好后可以通過http://PC-201301151832:1158/em來驗(yàn)證,還可以查看oracle的各項(xiàng)作用。
4、可以通過網(wǎng)頁來查看發(fā)現(xiàn)DBCA數(shù)據(jù)庫(kù)創(chuàng)建成功。
疑難小結(jié):
通過本次試驗(yàn),我對(duì)Oracle 的安裝與配置思想有了進(jìn)一步的了解,通過動(dòng)手實(shí)現(xiàn)Oracle 的安裝與配置,更加深刻的理解了Oracle 安裝的特點(diǎn)。在實(shí)驗(yàn)的過程中同時(shí),發(fā)現(xiàn)如果在Oracle安裝時(shí)候同時(shí)創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)實(shí)例會(huì)比先安裝Oracle程序,再創(chuàng)建數(shù)據(jù)庫(kù)慢。如果一開始不創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)實(shí)例,那么Oracle不會(huì)往系統(tǒng)服務(wù)里安裝服務(wù)項(xiàng)。并且在實(shí)驗(yàn)過程中,回顧書本上的理論知識(shí),鞏固了我的知識(shí)。
主要算法和清單程序:
1、只需要安裝包然后點(diǎn)擊 setup、按照提醒 就可以進(jìn)行安裝;
2、創(chuàng)建數(shù)據(jù)庫(kù)的語句 和一些命令;
3、Oracle 10g網(wǎng)絡(luò)環(huán)境配置;
4、操作系統(tǒng)(XP),安裝oracle10g;
5、驗(yàn)證安裝是否正確;
6、看相關(guān)服務(wù)是否正常啟動(dòng);
7、登錄sql *plus客戶端和OEM驗(yàn)證;
8、把oracle相關(guān)服務(wù)設(shè)置成手動(dòng)啟動(dòng)(不讓自動(dòng)啟動(dòng),這樣可以減輕系統(tǒng)負(fù)擔(dān));
9、建立一個(gè)批處理文件,通過它實(shí)現(xiàn)oracle服務(wù)的啟動(dòng)和停止;
10、配置本地服務(wù)命名,本地服務(wù)器有問題時(shí)連接遠(yuǎn)程服務(wù)器操作(net manager)。
點(diǎn)擊咨詢 