1 / 14

第 7 章内容回顾

第 7 章内容回顾. 应用层代理和网络层防火墙具有不同的实现原理和应用场合 在 Linux 系统中内核提供包过滤防火墙功能,使用 squid 服务器可实现代理服务器功能 iptables 命令是对 Linux 内核包过滤防火墙的主要管理工具 通过防火墙策略的配置, Linux 主机可实现包过滤和 NAT 功能 squid 服务器的主要功能是代理和缓存. 网络安全管理. 第 15 讲. 本章目标. 掌握 SSH 服务器管理和客户端的使用 掌握 TCP Wrappers 的配置管理. 网络安全管理. SSH远程登录服务. SSH的起源与原理.

ethan-beard
Download Presentation

第 7 章内容回顾

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第7章内容回顾 • 应用层代理和网络层防火墙具有不同的实现原理和应用场合 • 在Linux系统中内核提供包过滤防火墙功能,使用squid服务器可实现代理服务器功能 • iptables命令是对Linux内核包过滤防火墙的主要管理工具 • 通过防火墙策略的配置,Linux主机可实现包过滤和NAT功能 • squid服务器的主要功能是代理和缓存 Chapter

  2. 网络安全管理 第15讲 Chapter

  3. 本章目标 • 掌握SSH服务器管理和客户端的使用 • 掌握TCP Wrappers的配置管理 Chapter

  4. 网络安全管理 SSH远程登录服务 SSH的起源与原理 OpenSSH的基本配置管理 OpenSSH的基本应用 在Windows下使用SSH客户端软件 TCPD的概念 hosts.deny和hosts.allow设置文件 TCP Wrappers TCP Wrappers配置实例 本章结构 Chapter

  5. TCP Wrappers的基本概念 • TCP Wrappers的功能 • TCP Wrappers是大多数Linux发行版本中都默认提供的功能 • TCP Wrappers的主要执行文件是“tcpd” • tcpd程序可以将其他的网络服务程序“包裹”起来,从而进行集中的访问控制设置 • RHEL4系统中缺省安装了TCP Wrappers # rpm -q tcp_wrappers tcp_wrappers-7.6-37.2 Chapter

  6. TCP Wrappers的设置文件 • TCP Wrappers使用两个设置文件 • “hosts.allow”和“hosts.deny”两个文件的用于保存TCP Wrappers基于主机地址的访问控制策略 # ls /etc/hosts.* /etc/hosts.allow /etc/hosts.deny • “hosts.allow”文件用于保存允许访问的策略 • “hosts.deny”文件用于保存拒绝访问的策略 • “hosts.allow”和“hosts.deny”文件中保存的设置是即时生效的 Chapter

  7. TCP Wrappers设置文件的格式2-1 • 设置文件的格式 • “hosts.allow”和“hosts.deny”文件中具有相同格式的配置记录 <服务程序列表>:<客户机地址列表>[:动作] • 文件中每行为一个设置记录 • “服务程序列表”字段的表示 • ALL代表所有的服务程序 • 单个服务的名称,例如in.telnetd代表telnet服务器程序, vsftpd代表vsftpd服务器程序 • 多个服务程序名称可以组成列表,中间用逗号分隔,例如“in.telnetd,vsftpd” Chapter

  8. TCP Wrappers设置文件的格式2-2 • “客户机地址列表”字段的表示 • ALL代表所有的客户机地址 • LOCAL代表本机地址 • KNOW代表可解析的域名 • UNKNOW代表不可解析的域名 • 以句点“.”开始的域名代表该域下的所有主机,例如“.ltest.com”代表“ltest.com”域中的所有主机 • 对某个子网中的所有主机使用“子网/掩码”的形式表示 • 对于网络中的某个主机可直接使用IP地址表示 • “动作”字段使用“allow”表示允许,使用“deny”表示拒绝 Chapter

  9. TCP Wrappers配置实例4-1 • 配置要求 • 使用TCP Wrappers对vsftpd服务和telnet服务进行基于主机的访问控制 • vsftpd服务器和telnet服务器所在主机的地址为“192.168.1.2” • 对于vsftpd服务只允许IP地址为“192.168.1.100”至“192.168.1.199”的主机进行访问 • 由于telnet服务相对不是很安全,因此只允许IP地址为“192.168.1.122”的客户机访问 Chapter

  10. TCP Wrappers配置实例4-2 • telnet服务器的安装 • RHEL4系统中默认不安装telnet服务器 • telnet-server软件包在第4张安装光盘,需要手工进行安装 rpm -ivh /media/cdrom/RedHat/RPMS/telnet-server-0.17-30.i386.rpm • telnet服务由xinetd调度启动 • telnet在xinetd服务中的启动配置文件 /etc/xinetd.d/telnet • telnet服务默认不启动,需手工设置 # chkconfig telnet on # service xinetd restart Chapter

  11. TCP Wrappers配置实例4-3 • 使用telnet命令登录telnet服务器 • telnet命令是telnet服务的客户端程序 # telnet 192.168.1.2 • 用户telnet登录的过程中会提示输入用户名和用户口令 • telnet服务的安全性 • telnet服务使用明文传输所有的内容(包括用户登录口令),因此存在安全隐患 • 应尽量使用SSH服务替代telnet服务 Chapter

  12. TCP Wrappers配置实例4-4 • TCP Wrappers策略配置 • hosts.deny文件 in.telnetd, vsftpd: ALL • hosts.allow文件 in.telnetd: 192.168.1.122 vsftpd: 192.168.1.1?? • 采取先“全部禁止”再“逐个开放”的策略设置方法,可以较好的实现“只允许……”的访问策略 Chapter

  13. 阶段总结 • TCP Wrappers是各Linux发行版本中必备的功能 • 通过tcpd服务程序可以对其他的网络服务程序实现访问控制 • 通过在hosts.allow和hosts.deny两个文件中设置访问控制策略,可以实现对TCP Wrappers的控制 • 在hosts.allow和hosts.deny文件中的设置是即时生效的 Chapter

  14. 阶段练习 • 查看hosts.allow和hosts.deny文件的缺省设置内容 • 在hosts.deny文件中增加禁止指定的客户机进行telnet登录的访问控制记录 Chapter

More Related