squid代理服务器、iptables防火墙(安全)的设置和各自的功能

Squid是Linux下最为流行的代理服务器软件，它功能强大，支持对HTTP、FTP、Gopher、SSL、WAIS等协议的代理; 设置简单，只需对配置文件稍稍改动就可使代理服务器运转起来。此外，Squid具有页面缓存功能，它接受用户的下载申请，并自动处理所下载的数据。

前期准备

Squid对硬件的要求是: 内存不应小于128M，硬盘转速越快越好，最好使用服务器专用SCSI

硬盘，对CPU的要求不高，400MHz以上即可。笔者所管理的代理服务器是Inter2150，安装了Red Hat Linux 7.2，安装时就带有Squid。有两块网卡，一块eth0配外部地址（比如211.88.99.66），一块eth1配内网地址（比如192.168.5.1）。如果安装了Gnome或其他图形界面，就可以在netconfig 中给两块网卡配置IP地址，不然的话，可在/etc/sysconfig/network-script路径下更改文件ifcfg-eth0和ifcfg-eth1。

首先编辑ifcfg-eht0，有以下几项：

DEVICE=eth0 (表示用哪块网卡)

IPADDR=211.88.99.66 (设置该网卡的IP地址)

NETMASK=255.255.255.252 (设置子网掩码)

同样编辑ifcfg-eth1，然后运行命令network restart就可以使配置生效了。对eth0、eth1进行配置后，可以用ifconfig命令来查看是不是配置成功。

如果服务器只有一张网卡，也不用担心，Linux可以在一块网卡上绑定多个IP地址。在图形界面下配置很简单，不赘述。如果在文本状态下配置，可以将ifcfg-eth0复制并命名为ifcfg-eth0:1，把它完全当成两块网卡来配就可以了。

Squid的安装

1. 安装Linux

安装Linux在硬盘分区时要注意，最好不要让系统自己分区，而是手动分区。通常，在Linux

系统中有且仅有一个交换分区（在文件系统形式中选择Linux swap），它用做虚拟内存，建议将交换分区的大小设置为内存的两倍。当硬盘的大小超过了8G，要再建立一个128M（稍稍大一点，不会出错）的boot分区，这是为了避免将系统内核文件放到1024磁道以外，如果将boot 作为root分区的一个子目录，内核文件就会安装在root分区的任何地方。因为要用做代理服务器，建议再分一个分区“var”，作为Squid的缓冲区，所以根据磁盘大小尽量分配大一点，最后将硬盘的剩余空间全部分给root分区。

2. 安装Squid

新手安装Squid，建议在安装Linux时就选中Squid，它并不是默认选中项，而且也不在选择的大类中，要在详细列表中查找。如果没有安装，又不想重装系统，可以从https://www.sodocs.net/doc/a27873614.html, 下载Squid软件。

Squid代理服务器的设置

安装好Squid后几乎就可以用了，用编辑器打开/etc/squid/squid.conf文件（以root登录），Squid 的配置文件共有125个配置项，但是一般来说，只要修改几个配置项即可。找到“http_access deny all”并改为“http_access allow all”令所有的电脑都能通过代理服务访问互联网资源。其实只要修改该项，Squid服务就可以启动了。

为了更好地控制代理服务器的行为，还有几个可配置项需要考虑:

1. cache_mem: 设置代理服务使用的内存大小，一般推荐为物理内存的三分之一。

2. cache_dir：设定缓存的位置、大小。一般格式如下：

cache_dir /var/spool/squid/cache 100 16 256

cache_dir指定cache目录的路径，默认为/var/spool/squid/cache。

/var/spool/squid/cache代表缓存的位置，使用squid -z指令会在这个目录下建立存储交换文件（swap files）的目录。100表示缓存最大为100M，16和256代表一级和二级目录数。实际使用时，100M是不够的，如果硬盘够大，可以增加存储空间，比如：cache_dir /var/spool/squid/cache 2000 16 256。

3. http_port：代理服务使用的端口号，默认为3128，可以使用其他的端口，注意将前面的注释符号“#”去掉。另外，使用端口不能和其他的服务重复，如果使用1024以下的端口，Squid必须以root身份运行。

4. maximum_object_size：指定Squid可以接收的最大对象的大小。Squid缺省值为4M，可以根据自己的需要进行设定。

启动Squid

Squid可以设置为自动启动。运行命令setup，在System services选项中选中Squid。设置后每次重新开机，都会自动执行Squid。

如果是第一次启动，要建立/var/spool/squid下的暂存资料目录，先输入squid -z，再启动Squid （直接运行Squid即可）。

启动Squid后，在另一台Windows电脑上（以Internet Explorer 5.0为例）运行IE，单击“工具”，接着单击“Internet选项”，再单击“连接”选项卡，选择“局域网设置”。在“局域网设置”窗口中的“地址”处填上Squid服务器的IP地址，在“端口”处填上“3218”（Squid软件默认代理的端口号），确定后退出。接下来，随意浏览一些网站检查Squid的运行情况，也可以查看logs下的access.log 和cache.log，看看代理是否运行正常。

代理服务器的安全

代理服务器是一个单位对外的门户，安全至关重要。因此，应该采取必要的防护手段。

1. 防火墙的配置

为了保证代理服务器的安全，最好加上防火墙，可以用IPchains或IPtable。

要使用ftp代理，还必须载入相关模块。可以使用以下命令：

modprobe ip_comtrack_ftp

modprobe命令会自动载入指定模块及其相关模块。iptables_filter模块会在运行时自动载入。

下面用IPtables一步一步地来建立包过滤防火墙，需要说明的是，在这个例子中，主要是对内部的各种服务器提供保护。

给IPtables规则设置一个存储路径: iptables -restroe /etc/sysconfig/iptables。

现在开始考虑规则。在这里需要注意的是，服务器/客户机交互是双向的，所以不仅仅要设置数据包出去的规则，还要设置数据包返回的规则，下面先建立针对来自Internet数据包的过滤规则。

1. 首先禁止转发任何包，然后再一步步设置允许通过的包。

2. 先允许源为内网的所有端口的TCP包。

3. 再允许目的为内部网(192.168.5.0/24)的FTP数据包。

4. 允许目的为内网的来自Internet的非连接请求TCP包。

5. 最后一条接收所有UDP包，主要是针对oicq等使用UDP的服务。

6. icmp包通常用于网络测试等，故允许所有的icmp包通过。但是黑客常常采用icmp进行攻击，如“ping of death”等，所以我们采用limit匹配扩展加以限制。对不管来自哪里的icmp包都进行限制，允许每秒通过一个包，该限制触发的条件是10个包。

不需要允许WWW服务的包，所有WWW服务由Squid代理。

iptables -P FORWARD DROP

iptables -A FORWARD -p tcp -s 198.168.5.2 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.5.0/24 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT

iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

说明：

-A加入(append) 一个新规则到一个链(-A)的最后。（用-I可以插入一条规则，插入位置序号写在Forward后，-D在链内某个位置删除(delete) 一条规则，-R在链内某个位置替换(replace) 一条规则）。

Forward链、Input链和Output链的区别如下：

1. 如果数据包的目的地址是本机，则系统将数据包送往Input链。如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

2. 如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往Forward 链。如果通过规则检查，则该包被发给相应的本地进程处理; 如果没有通过规则检查，系统就会将这个包丢掉。

3. 如果数据包是由本地系统进程产生的，则系统将其送往Output链。如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

-s指定源地址，-d指定目的地址。

-p 指定协议，比如-p tcp。

-i或-o指定网络接口。需要注意的是，对于Input链来说，只可能有-i，也即只会有进入的包；同理，对于Output链来说，只可能有-o，也即只会有出去的包。只有Forward链既可以有-i的网络接口，也可以有-o的网络接口。

Drop表示符合规则就丢弃包，Accept相反。

然后，执行命令IPtables -L，可以查看已经建立的规则，并用命令IPtables -save将规则写入文件。

通过以上步骤，我们建立了一个相对完整的防火墙，只对外开放了有限的几个端口，同时提供了客户对Internet的无缝访问。

2. 其他建议

为了安全，最好不要在一台机器上运行太多服务。为了方便调试，一般都会提供telnet和ftp服务，但这往往是安全隐患，可以在/etc/host.allow和/etc/host.deny中进行限制。比如：局域网的内网网段为: 192.168.0.0，可以在hosts.allow文件中加入一行: telnet:192.168.0.0/255.255.0.0。在hosts.deny中加入一行：all:all。因为是先执行host.allow，再执行host.deny。所以上面就只打开了内网网段的telnet服务，而对外关闭。如果想打开其他服务，可以再加。如果还想加上机器名，可以在IP后加上“@abc”（abc代表某机器名）。想关闭所有服务、所有IP、所有机器名，可以在host.deny中写上“all:all@all”。配置好了运行命令xinetd.d，配置就生效了。如果想远程访问代理服务器，最好用SSH(因为telnet是明码传送，所以很不安全，SSH可以理解为加密的telnet），它的配置和应用比较简单，不赘述。

服务器以及防火墙配置说明

服务器初始安装： Dell Poweredge R300（146Gx2容量两台用作web服务器，300Gx2容量一台用作数据库服务器） 配置磁盘阵列：重启服务器，根据屏幕提示按Ctrl+C进入SAS管理界面，将两块硬盘配置成Raid 1（镜像卷，会清除硬盘数据，总容量分别为146G、146G、300G） SASGIR—RAID Properties—Create R1 Volume—将两块硬盘raid disk设成“yes”—按C 创建raid组—F3创建…完毕 系统安装：打开光驱，放入系统引导盘（dell Systems Management Tools and Documentation）,重启服务器之后自动进入到引导界面（选择从Optical Driver启动） 之后按照安装向导填写相关信息，（系统盘划分：30~40G），根据提示插入系统盘（Windows Server 2003）等待完成系统安装。

防火墙设置： 设备：Netscreen SSG5 物理端口设置： 外网端口（Untrust）：端口E0/0 内网端口（Trust）：E0/2、E0/3 – 10.1.1.0网段bgroup1 E0/4~6 – 192.168.1.0网段bgroup0 首先将Starnetdb、Starnetweb1和Starnetweb2的本地连接网卡连接到防火墙E0/4、E0/5、E0/6端口，将Starnetweb1、Starnetweb2的管理地址网卡连接到防火墙E0/2、E0/3端口 然后通过浏览器访问防火墙Web’管理界面，在Network—Interface—List 进入端口列表界面 编辑bpgroup0： Bgroup0为内网接口，，所以Zone Name选择“trust” IP地址选择Static IP，填入地址192.168.1.1并且勾选可管理，管理地址相同 Management Services为可选的连接方式，一般需要勾选Web UI、SSL、Telnet

防火墙配置模式

前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT（网络地址转换） 11 2.3.2.3组网实例 12 三、总结 13

一、前言 随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。而internet的飞速发展，使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫．中毒者不计其数。一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)

squid代理服务器泄露客户ip和服务器信息的解决

squid代理服务器泄露客户ip和服务器信息的解决 在局域网通过透明代理访问外部的web服务器时, 在web服务器端, 通过header HTTP_X_FORWARDED_FOR 可以知道代理服务器的服务器名以及端口, 通过HTTP_VIA可以知道客户的内部ip,这会带来一些安全问题,并且某些论坛会发现用的是代理访问,怎么让squid隐藏这些信息呢. 通过研究squid的源代码,发现在/etc/squid/squid.conf中添加2行: header_access Via deny all header_access X-Forwarded-For deny all 就可以把它关闭（king9413注：新版本命令为：via off forwarded_for of） 要去掉其他的header,也可以照此操作: Accept HTTP_ACCEPT Accept-Charset HTTP_ACCEPT-CHARSET Accept-Encoding HTTP_ACCEPT-ENCODING Accept-Language HTTP_ACCEPT-LANGUAGE Accept-Ranges HTTP_ACCEPT-RANGES

Age HTTP_AGE Allow HTTP_ALLOW Authorization HTTP_AUTHORIZATION Cache-Control HTTP_CACHE-CONTROL Connection HTTP_CONNECTION Content-Base HTTP_CONTENT-BASE Content-Disposition HTTP_CONTENT-DISPOSITION Content-Encoding HTTP_CONTENT-ENCODING Content-Language HTTP_CONTENT-LANGUAGE Content-Length HTTP_CONTENT-LENGTH Content-Location HTTP_CONTENT-LOCATION Content-MD5 HTTP_CONTENT-MD5 Content-Range HTTP_CONTENT-RANGE Content-Type HTTP_CONTENT-TYPE Cookie HTTP_COOKIE Date HTTP_DATE ETag HTTP_ETAG Expires HTTP_EXPIRES From HTTP_FROM Host HTTP_HOST If-Match HTTP_IF-MATCH If-Modified-Since HTTP_IF-MODIFIED-SINCE

防火墙典型配置举例

1.1防火墙典型配置举例

[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网，允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound

Squid代理服务器实验报告

Squid代理服务器实验报告 班级：10网工三班学生姓名：谢昊天学号：1215134046 实验目的和要求： 任务一：实现正向代理 任务二：实现透明代理 任务三：实现反向代理 实验拓扑图参考课本P215,图10-4，完整实现以上功能。 实验目的和要求： 提示1、在启动squid服务程序之前需要先确认Linux主机具有完整的域名，如果没有可以在hosts文件中进行设置 提示2、squid服务器第一次启动前的初始化工作可以使用squid –z命令手工完成，如不手工进行，squid启动脚本也会自动完成初始化工作。 实验详细步骤： 1.在Linux 操作系统中查看是否已经安装了Squid 服务： 【root@RHEL4~】#rpm –q squid Squid-2.5.STABL E6-3 这表明系统已经安装了Squid 服务。 2.启动Squid 服务 启动和重新启动Squid 服务的命令如下： //启动Squid服务 【root@RHEL4~】#service squid start 启动squid：【确定】 //重新启动Squid 服务 【root@RHEL4~】#service squid restart 停止squid：【确定】 启动squid：【确定】 配置Squid服务器 一. squid.conf配置 激活squid. 1). 开启squid 运行# squid -k parse命令即可 2). 初始化cache目录. 在第一次启动squid服务之前执行# squid -z 3). 启动squid服务

# service squid start 4). 停止squid 最安全的停止squid的方法是使用squid -k shutdown命令： # squid -k shutdown 5). 重配置运行中的squid进程 6). 滚动日志文件 二. 透明代理 1. 配置Proxy 主机： 1)更改squid配置文件中的下列指令: [root@test root]# vi /etc/squid/squid.conf httpd_accel_host virtual # 告诉web加速器,针对所有的URL httpd_accel_port 80 # 告诉web加速器，要监听的端口是80！ httpd_accel_with_proxy on # 这个很重要！因为配置httpd_accel_host 之后，cache 的配置httpd_accel_uses_host_header on 2)在squid 2.6,更改squid配置文件中的一个指令: http_port 192.168.63.50:3128 transparent #192.168.63.50 就是squid服务器的地址[root@test root]# squid -k reconfigure 2. 配置NAT 主机的port map ： 3. 配置转发 4. 配置客户端 三.反向代理： 1.Squid的配置如下： httpd_accel_host virtual httpd_accel_port 80 httpd_accel_single_host off httpd_accel_uses_host_header on 2.然后设置设置反响代理需要的域名解析（Internet用户通过这里解析三个网站的域名）如下： https://www.sodocs.net/doc/a27873614.html, 202.102.240.74 https://www.sodocs.net/doc/a27873614.html, 202.102.240.74 https://www.sodocs.net/doc/a27873614.html, 202.102.240.74 3.使三个域名都指向反向代理服务器的IP地址202.102.240.74。 4.设置反向代理所需要的DNS入口信息（即设置内部DNS，仅仅是squid在内部使用，Internet用户不可见）。有两种方法可以设置内部DNS，使用内部DNS 服务器来解析或者使用/etc/hosts文件来实现。 5.使用内部DNS服务器的资源记录如下： https://www.sodocs.net/doc/a27873614.html, IN A 192.168.62.2 https://www.sodocs.net/doc/a27873614.html, IN A 192.168.62.3 https://www.sodocs.net/doc/a27873614.html, IN A 192.168.62.4 如果使用/etc/hosts文件来实现内部DNS（编译时应使用disable internal dns选项）,编辑/etc/hosts文件添加如下条目：192.168.62.2 https://www.sodocs.net/doc/a27873614.html, 192.168.62.3 https://www.sodocs.net/doc/a27873614.html, 192.168.62.4 https://www.sodocs.net/doc/a27873614.html,

单机运行多个Squid代理服务

多代理（SQUID）同时运行的配置方法 作成日期：2012/8/24 多代理用途： 1、HTTP反向加速； 2、权限控制部分客户端，而权限控制选项是全局设置时； 总之，一般的代理服务器运行一个即可，当有特殊要求的时候，才有此需要，HTTP反向代理本文没有涉及，仅是为了权限控制，一台机器同一网卡运行了2个Squid，对于HTTP反向代理，有兴趣者可自行研究配置。 环境： 1、Cent OS 5 2、Squid （Version 2.6.STABLE21） 3、DELL R710 配置： 在配置多Squid同时运行时，我的服务器已经安装配置好的Squid，并正常运行，如果你的服务器还不具备此条件，请先配置好Squid，并确保可以正确运行。 1、复制一份Squid .conf配置文件 2、编辑新文件，配置如下的选项与第一个Squid区分开 3、初始化缓存目录 命令如下：Squid –z –f 新的配置文件 注意，“-f”参数后面一定要写上新配置文件，一般设定2个Squid同时运行时，都是这一步没有处理或者处理错误，比如没有加“-f”参数的话，就会初始化原有的Squid缓存目录而不是新Squid 缓存目录。 4、运行第2个代理服务器 命令如下：Squid –D –f 新的配置文件

维护： 至此，服务器上已经运行两个代理服务器，使用不同的端口，就会通过不同代理服务器进行网络连接，设定配置文件，可为客户端设定不同的网络权限。 1、关于配置文件的更新后Reload 如更新第1个代理，使用默认系统命令：squid –k reconfigure 如更新第2个代理，squid –k reconfigure –f 新的配置文件 2、第2个代理的自动启动 当系统重新时，想第2个代理随机启动，请参照以下脚本（第1个代理启动，可以在系统中设定）： #! /bin/sh echo "Start special squid” #输出一些提示信息 squid -D -f /etc/squid/squidnew.conf #我的新配置文件在/etc/squid下面 echo "Please wait ...." #输出一些提示信息 sleep 5 #等待5秒，给Squid启动时间，实际可能不需要怎么久cd /var/cache/squidnew/ #进入缓存目录，我的PID文件放在这里 if [ -s squid.pid ]; #判断PID文件是否存在，存在squid启动成功，否则失败 then echo "Squid start success" else echo "Squid start failed" fi exit 0 将该脚本放置到启动目录，自行启动即可，另外我不是自行启动，因有时候不运行，如自行启动，可将判断的部分删除，因为系统启动，可能看不到脚本提示信息。 关于关闭Squid，请使用多次的 squid –k shutdown 命令关闭服务， 同时使用ps –ef |grep squid 判断代理服务是否全部关闭完成。 调试过程如有问题，使用tail –f /var/log/messages 排错也是个不错的办法。 备注： 另外，系统究竟可以运行多少个Squid？没有测试，猜测如CPU足够快、内存足够大，应该可以运行很多副本。 以上

RTX服务器防火墙配置

RTX服务器防火墙配置 一、RTX服务与端口： RTX服务端程序在安装之后，如果安装服务端电脑的操作系统有防火墙（如Windows XP、Windows2003等）或者安装了防火墙（如瑞星、Norton等），那么需要在防火墙上打开RTX所需要使用的相关网络端口，其他电脑上的RTX客户端才能连接上RTX服务端，正常使用相关功能。 RTX的正常使用，需要服务器打开下列端口： ConnServer TCP 8000 用于客户端与服务器端相连 FileServer TCP 8003 用于客户端发送文件 Upgradesvr TCP 8009 用于客户端升级 SessionServer TCP 8880 语音、视频、大于1M文件传输 InfoServer TCP 8010 用于客户端取组织架构 如果需要配置RCA（基于IP地址的企业互联），需要打开以下端口： CoGroupManager TCP 8008 如果进行RTX的二次开发，需要根据访问情况打开以下端口： 访问 SDKServer，打开TCP 6000 调用SDKAPI.dll的接口需要打开这个端口。 访问 AppServer，打开 TCP 8006 调用ObjectApi.dll的接口需要打开这个端口。 访问 HttpServer，打开 TCP8012 需要通过Url访问调用需要打开这个端口。 二、服务器防火墙设置：（以Windows XP SP2为例） 1. 点击设置 -> 网络连接，如下图所示： 2. 右击本地连接-> 属性，如下图所示： 3. 选择高级->设置，如下图所示：

4. 点击启用(推荐)->例外，如下图所示：

天融信防火墙配置手册

天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。 比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有

squid 代理服务器 用户认证配置实例

squid 代理服务器用户认证配置实例 如果你以前没有加过认证，那么不必重新安装，只需把你下载的squid文件重新编译下 下面附安装实例: 我这里安装的是最新的squid 3.0 进入下载的squid源码目录,重新编译squid,并声明支持NCSA认证 ./configure --enable-basic-auth-helpers="NCSA" make 然后进入下面这个目录 cd helpers/basic_auth/NCSA 拷贝生成的执行文件ncsa_auth到/usr/local/squid/bin目录 cp ./ncsa_auth /usr/local/squid/bin 编辑squid.conf 加入 auth_param basic program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd aclpasswderproxy_auth REQUIRED http_access allow passwder http_access deny all 如果不想进行用户认证，去掉上述四行，换成 http_access allow all 利用apache携带的工具软件htpasswd在/usr/local/squid/etc下生成密码文件并添加相应的用户信息 /usr/local/bin/htpasswd -c /usr/local/squid/etc/passwd squid 输入密码并确认 如果你的htpasswd不在这个目录，那你进入/etc/local 使用 find . -name htpasswd 查询一下你的文件在那里啦

防火墙配置

第1章防火墙配置 1.1 防火墙简介 防火墙一方面阻止来自因特网的对受保护网络的未授权的访问，另一方面允许 内部网络的用户对因特网进行Web访问或收发E-mail等。 应用：1）作为一个访问网络的权限控制关口，如允许组织内的特定的主机可以 访问外网。2）在组织网络内部保护大型机和重要的资源（如数据）。对受保护 数据的访问都必须经过防火墙的过滤，即使网络内部用户要访问受保护的数据， 也要经过防火墙。 类型：目前设备中的防火墙主要是指基于访问控制列表（ACL）的包过滤（以 下简称ACL/包过滤）、基于应用层状态的包过滤（以下简称状态防火墙ASPF， Application Specific Packet Filter）和地址转换。 1.1.1 ACL/包过滤防火墙简介 ACL/包过滤应用在设备中，为设备增加了对数据包的过滤功能。 工作过程：对设备需要转发的数据包，先获取数据包的包头信息，包括IP层所 承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等， 然后和设定的ACL（访问控制列表）规则进行比较，根据比较的结果决定对数 据包进行相应的处理。 1.2 包过滤防火墙配置 1.启用防火墙功能 进入系统视图system-view 启用防火墙功能firewall enable 2.配置防火墙的缺省过滤方式 防火墙的缺省过滤方式，即在没有一个合适的规则去判定用户数据包是否可以通过的时候，防火墙采取的策略是允许还是禁止该数据包通过。在防火墙开启时，缺省过滤方式为“允许”进入系统视图system-view 设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny } 3.配置访问控制列表 4.在接口上应用访问控制列表

CheckPoint防火墙配置

C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号：１.０.０ ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)

前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范，工程验收手册，局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。 内容采纳意见备注 1.不同等级管理员分配不同账号，避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位，并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备，使用户不能重复使用 部分采纳IPSO操作系统支持最近5次（含5次）内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次（不含6次），锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内，根据用户 的管理等级，配置其所需的最小管

squid三种代理方式原理与配置

一、代理分类 1）、传统代理 适用于内网访问外网，客户端需要设置代理IP和端口 2）、透明代理 适用于内网访问外网，客户端只需要设置网关，网关就是代理服务器

3）、反向代理 适用于外网访问内网，可以实现负载均衡

二、传统代理搭建及配置 1、修改主配置文件 vim /etc/squid/squid.conf 将http_access deny all 改成http_access allow all 2、开启服务 squid 3、客户端设置——浏览器设置代理 4、测试 客户端访问后，在web服务器查看访问记录，确认访问IP 三、透明代理配置 1、修改主配置文件 vim /etc/squid/squid.conf 将http_access deny all 改成http_access allow all 将http_port 3128 改成 http_port 内网IP:3128 transparent 2、重启服务 killall -9 squid && squid 3、编写防火墙规则 开启端口重定向 firewall——定义内外网卡所在区域——对内网卡所在区域设置端口重定向——将80端口重定向到本机3128端口 4、客户端设置——网关指向代理服务器内网卡IP

5、测试 客户端访问后，在web服务器查看访问记录，确认访问IP 四、反向代理配置 1、修改主配置文件 vim /etc/squid/squid.conf 将http_access deny all 改成http_access allow all http_port 192.168.1.88:80 accel vhost cache_peer 192.168.1.80 parent 80 0 originserver name=sina cache_peer 192.168.1.80 parent 80 0 originserver name=baidu ## cache_peer 指定后端服务器地址，80 为后端服务端口，0 为 ICP 端口号（多个Squid 时用）,originserver 指定资源服务器，name 指定一个别名 2、重启启服务 killall -9 squid && squid 3、测试 客户端访问代理服务器外接口IP后，在web服务器查看访问记录，确认访问IP

防火墙配置案例

综合案例 案例1：路由模式下通过专线访问外网 路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。（提示：用LAN 或者WAN 表示方式。一般来说，WAN 为外网接口，LAN 为内网接口。） 图 1 网络卫士防火墙的路由模式 网络状况： ●总公司的网络卫士防火墙工作在路由模式。Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区 域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。 ●网络划分为三个区域：外网、内网和SSN。管理员位于内网中。内网中存在3个子网，分别为 192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。 ●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地 址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。 用户需求： ●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器； ●外网和SSN 的机器不能访问内网； ●允许外网主机访问SSN 的HTTP 服务器。 配置步骤： 1) 为网络卫士防火墙的物理接口配置IP 地址。 进入NETWORK 组件topsec# network 配置Eth0 接口IP https://www.sodocs.net/doc/a27873614.html,work# interface eth0 ip add 192.168.1.254 mask255.255.255.0

配置Eth1 接口IP https://www.sodocs.net/doc/a27873614.html,work# interface eth1 ip add 202.69.38.8 mask255.255.255.0 配置Eth2 接口IP https://www.sodocs.net/doc/a27873614.html,work# interface eth2 ip add 172.16.1.1 mask255.255.255.0 2）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。设置内网绑定属性为“Eth0”，权限选择为禁止。 设置外网绑定属性为“Eth1”，权限选择为允许。 设置SSN 绑定属性为“Eth2”，权限选择为禁止。 3)定义地址资源 定义HTTP 服务器：主机名称设为HTTP_SERVER，IP 为172.16.1.2。 定义FTP 服务器：主机名称设为FTP_SERVER，IP 为172.16.1.3。 定义邮件服务器：主机名称设为MAIL_SERVER，IP 为172.16.1.4。 定义虚拟HTTP服务器：主机名称设为V_SERVER，IP 为202.69.38.10。 6）定义路由

天融信防火墙通用配置

天融信防火墙通用配置 一. 通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:, 出厂用户名为：superman，密码为：talent或。现IP改为，用户名为：superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与

web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在/24网段，MISS网在/24网段。eth0口IP为(WEB服务器实际IP为)，eth1IP口为。接口模式选择：路由。其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：既eth0口的IP，MISS 网端的主机网关设成：即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加：

该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。Xnweb为转换后的IP 地址为：，该地址与MISS网的主机在同一网段，只要不被使用即可。以后miss网的主机只需浏览：，不需浏览地址。以达到伪装IP的目的。 2.区域设置： 点击：资源管理---区域； 将eth0口名称改为scada，权限选：允许；eth1口名称改为：miss，权限：允许。

squid代理服务器、iptables防火墙(安全)的设置和各自的功能

Squid是Linux下最为流行的代理服务器软件，它功能强大，支持对HTTP、FTP、Gopher、SSL、WAIS等协议的代理; 设置简单，只需对配置文件稍稍改动就可使代理服务器运转起来。此外，Squid具有页面缓存功能，它接受用户的下载申请，并自动处理所下载的数据。 前期准备 Squid对硬件的要求是: 内存不应小于128M，硬盘转速越快越好，最好使用服务器专用SCSI 硬盘，对CPU的要求不高，400MHz以上即可。笔者所管理的代理服务器是Inter2150，安装了Red Hat Linux 7.2，安装时就带有Squid。有两块网卡，一块eth0配外部地址（比如211.88.99.66），一块eth1配内网地址（比如192.168.5.1）。如果安装了Gnome或其他图形界面，就可以在netconfig 中给两块网卡配置IP地址，不然的话，可在/etc/sysconfig/network-script路径下更改文件ifcfg-eth0和ifcfg-eth1。 首先编辑ifcfg-eht0，有以下几项： DEVICE=eth0 (表示用哪块网卡) IPADDR=211.88.99.66 (设置该网卡的IP地址) NETMASK=255.255.255.252 (设置子网掩码) 同样编辑ifcfg-eth1，然后运行命令network restart就可以使配置生效了。对eth0、eth1进行配置后，可以用ifconfig命令来查看是不是配置成功。 如果服务器只有一张网卡，也不用担心，Linux可以在一块网卡上绑定多个IP地址。在图形界面下配置很简单，不赘述。如果在文本状态下配置，可以将ifcfg-eth0复制并命名为ifcfg-eth0:1，把它完全当成两块网卡来配就可以了。 Squid的安装 1. 安装Linux 安装Linux在硬盘分区时要注意，最好不要让系统自己分区，而是手动分区。通常，在Linux 系统中有且仅有一个交换分区（在文件系统形式中选择Linux swap），它用做虚拟内存，建议将交换分区的大小设置为内存的两倍。当硬盘的大小超过了8G，要再建立一个128M（稍稍大一点，不会出错）的boot分区，这是为了避免将系统内核文件放到1024磁道以外，如果将boot 作为root分区的一个子目录，内核文件就会安装在root分区的任何地方。因为要用做代理服务器，建议再分一个分区“var”，作为Squid的缓冲区，所以根据磁盘大小尽量分配大一点，最后将硬盘的剩余空间全部分给root分区。 2. 安装Squid 新手安装Squid，建议在安装Linux时就选中Squid，它并不是默认选中项，而且也不在选择的大类中，要在详细列表中查找。如果没有安装，又不想重装系统，可以从https://www.sodocs.net/doc/a27873614.html, 下载Squid软件。 Squid代理服务器的设置

squid反向代理设置功略

代理服务器是使用非常普遍的一种将局域网主机联入互联网的一种方式，使用代理上网可以节约紧缺的IP地址资源，而且可以阻断外部主机对内部主机的访问，使内部网主机免受外部网主机的攻击。但是，如果想让互联网上的主机访问内部网的主机资源（例如：Web 站点），又想使内部网主机免受外部网主机攻击，一般的代理服务是不能实现的，需要使用反向代理来实现。本文将详细介绍反向代理服务的概念以及如何利用反向代理服务器提高WEB服务器的性能和安全性。一．反向代理的概念什么是反向代理呢？其实，反向代理也就是通常所说的WEB服务器加速，它是一种通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB缓冲服务器（即：WEB反向代理服务器）来降低实际的WEB服务器的负载。 典型的结构如下图所示： Web服务器加速（反向代理）是针对Web服务器提供加速功能的。它作为代理Cache，但并不针对浏览器用户，而针对一台或多台特定Web服务器（这也是反向代理名称的由来）。实施反向代理（如上图所示），只要将ReverseProxyCache设备放置在一台或多台Web服务器前端即可。当互联网用户访问某个WEB服务器时，通过DNS服务器解析后的IP地址是ReverseProxyServer的IP地址,而非原始Web服务器的IP地址,这时ReverseProxyServer 设备充当Web服务器，浏览器可以与它连接，无需再直接与Web服务器相连。因此，大量

Web服务工作量被卸载到反向代理服务上。不但能够防止外部网主机直接和web服务器直接通信带来的安全隐患，而且能够很大程度上减轻web服务器的负担，提高访问速度。 二．反向代理和其它代理的比较下面将对几种典型的代理服务作一个简单的比较。 在网络上常见的代理服务器有三种： 1．标准的代理缓冲服务器一个标准的代理缓冲服务被用于缓存静态的网页（例如：html 文件和图片文件等）到本地网络上的一台主机上（即代理服务器）。当被缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而不再向原web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求送给代理服务器处理，代理服务器根据请求确定是否连接到远程web服务器获取数据。如果在本地缓冲区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，先在本地保存一份缓冲，然后将文件发给客户端浏览器。 2．透明代理缓冲服务器透明代理缓冲服务和标准代理服务器的功能完全相同。但是，代理操作对客户端的浏览器是透明的（即不需指明代理服务器的IP和端口）。透明代理服务器阻断网络通信，并且过滤出访问外部的HTTP（80端口）流量。如果客户端的请求在本地有缓冲则将缓冲的数据直接发给用户，如果在本地没有缓冲则向远程web服务器发出请求，其余操作和标准的代理服务器完全相同。对于Linux操作系统来说，透明代理使用Iptables 或者Ipchains实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP（Internet 服务器提供商）特别有用。 3．反向代理缓冲服务器反向代理是和前两种代理完全不同的一种代理服务。使用它可以降低原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求，防止原始服务器过载。它位于本地WEB服务器和Internet之间，处理所有对WEB服务器的请求，组织了WEB服务器和Internet的直接通信。如果互联网用户请求的页面在代理服务器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向WEB服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式通过降低了向WEB服务器的请求数从而降低了WEB服务器的负载。 三．反向代理工作原理

实验7：防火墙配置与NAT配置 (2)

大连理工大学 本科实验报告 课程名称：网络工程实验学院（系）：软件学院 专业：软件工程 班级： 090 学号： 200992 学生姓名： 2011年 7 月 11 日

大连理工大学实验报告 学院（系）：软件学院专业：软件工程班级： 090 姓名：学号： 200992 组： 12 ___ 实验时间： 2011.7.11 实验室： C310 实验台： 12 指导教师签字：成绩： 实验七：防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换（NAT） 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤（操作方法及思考题） {警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命 令分别将两台路由器的配置清空，以免以前实验留下的配置对本 实验产生影响。 2、在确保路由器电源关闭情况下，按图1联线组建实验环境。配置 IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺

省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。 图 1 3、在两台路由器上都启动RIP，目标是使所有PC机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP的命令 写到实验报告中。（5分） 答： [Quidway]rip [Quidway-rip]network all 4、在AR18和/或AR28上完成防火墙配置，使满足下述要求： （1）只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之间都不能通信。（注：对于不能通信，要求只要 能禁止其中一个方向就可以了。） （2）防火墙的ACL列表只能作用于两台路由器的以太网接口上，即AR18的E0、AR28的E0和E1，不允许在两台路由 器的S0口上关联ACL。 请将你所执行的配置命令写到实验报告中。（注：配置方法并不唯一，写出其中任何一种即可）（15分） 答： [Quidway] firewall enable [Quidway] firewall default permit [Quidway acl number 3001 match-order auto [Quidway-acl-adv-3001] rule deny ip source any destination any [Quidway-acl-adv-3001] rule permit ip source 202.0.1.2 destination 202.0.0.2 [Quidway-acl-adv-3001] rule permit ip source 202.0.2.1 destination 202.0.0.3 5、请在用户视图下使用“reset saved-configuration”命令和“reboot”命 令分别将两台路由器的配置清空，以免前面实验留下的配置对下 面的NAT配置实验产生影响。 6、请将图1中IP地址的配置改为图2，即我们将用IP 网段 192.168.1.0/24作为一个私网，AR18作为连接私网与公网的NAT 路由器，AR28作为公网上的一个路由器。具体的，请按下述步 骤完成NAT配置实验： （1）配置AR18-12为NAT路由器，它将私有IP 网段192.168.1.0/24中的IP地址转换为接口S0的公网IP 地址 192.0.0.1。请将所执行的配置命令写到实验报告中。 （10分） 答： [Quidway]nat address-group 192.0.0.1 192.0.0.1 pool1