項目3

配置與管理防火墻《網絡服務器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業教育國家規劃教材能力要求CAPACITY了解防火墻的分類及工作原理。0103掌握SNAT。02掌握DNAT。思政導入IDEOLOGY明確職業技術崗位所需的職業規范和精神，樹立社會主義核心價值觀！思政目標IDEOLOGY

“大學之道，在明明德，在親民，在止于至善。”“‘高山仰止，景行行止。’雖不能至，然心鄉往之”。了解計算機的主奠基人——華羅庚教授，知悉讀大學的真正含義，以德化人，激發學生的科學精神和愛國情懷。思政內容IDEOLOGY在我國計算機發展的歷史長河中，有一位做出突出貢獻的科學家，他也是中國計算機的主奠基者，你知道他是誰嗎？他就是華羅庚教授—我國計算技術的奠基人和主要的開拓者之一。華羅庚教授在數學上的造詣和成就深受世界科學家的贊賞。在美國任訪問研究員時，華羅庚教授的心里就已經開始勾畫我國電子計算機事業的藍圖了！項目知識準備項目設計與準備項目實施項目實錄：配置與管理firewalld防火墻內容導航CONTENTS一、項目知識準備防火墻概述通常所說的網絡防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

防火墻的分類方法多種多樣，不過從傳統意義上講，防火墻大致可以分為三大類，分別是“包過濾”“應用代理”“狀態檢測”。一、項目知識準備iptables與firewalld通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

早期的Linux系統采用ipfwadm作為防火墻，但在2.2.0版本中其被ipchains取代。Linux2.4發布后，netfilter/iptables數據包過濾系統正式使用。它引入了很多重要的改進，比如基于狀態的功能、基于任何傳輸控制協議（TransmissionControlProtocol，TCP）標記和MAC地址的包過濾功能、更靈活的配置和記錄功能、強大且簡單的NAT功能和透明代理功能等，然而，最重要的變化是引入了模塊化的架構方式。這使得iptables的運用和功能擴展更加方便、靈活。一、項目知識準備iptables與firewalld通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

在KylinOS中，firewalld防火墻取代了iptables防火墻。實際上，iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具，或者說，它們只是一種服務。iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理，而firewalld服務則把配置好的防火墻策略交由內核層面的iptables包過濾框架來處理。換句話說，當前在Linux系統中其實存在多個防火墻管理工具，旨在方便運維人員管理Linux系統中的防火墻策略，我們只需要配置妥當其中的一個就足夠了。雖然這些工具各有優劣，但它們在防火墻策略的配置思路上是保持一致的。一、項目知識準備NAT基礎知識通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

1. NAT的主要功能NAT主要具有以下功能。（1）從Intranet傳出的數據包由NAT將它們的專用地址轉換為公用地址。（2）從Internet傳入的數據包由NAT將它們的公用地址轉換為專用地址。（3）支持多重服務器和負載均衡。（4）實現透明代理。

這樣在內網中，計算機使用未注冊的專用IP地址，而在與外網通信時，計算機使用注冊的公用IP地址，大大降低了連接成本。同時NAT也起到將內網隱藏起來、保護內網的作用，因為對外部用戶來說，只有使用公用IP地址的NAT是可見的，這類似于防火墻的安全措施。一、項目知識準備NAT基礎知識通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

2.NAT的工作過程（1）客戶端將數據包發送給運行NAT的計算機。（2）NAT將數據包中的端口號和專用IP地址轉換成自己的端口號和公用IP地址，然后將數據包發送給外網的目的主機，同時在映像表中記錄一個跟蹤信息，以便向客戶端發送回答信息。（3）外網發送回答信息給NAT。（4）NAT將收到的數據包中的端口號和公用IP地址轉換為客戶端的端口號和內網使用的專用IP地址并轉發給客戶端。一、項目知識準備NAT基礎知識通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

3.NAT的分類（1）源NAT（SourceNAT，SNAT）是指改變第一個包的源IP地址。SNAT會在包被送出之前的“最后一刻”做好路由后（Post-Routing）的動作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。（2）目的NAT（DestinationNAT，DNAT）是指改變第一個包的目的IP地址。DNAT總是在包進入后立刻進行預路由（Pre-Routing）動作。端口轉發、負載均衡和透明代理均屬于DNAT。一、項目知識準備SELinux通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

安全增強型Linux（Security-EnhancedLinux，SELinux）是美國國家安全局（NationalSecurityAgency，NSA）對于強制訪問控制的實現，是Linux歷史上杰出的新安全子系統。NSA在Linux社區的幫助下開發了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在它的任務中所需的文件。2.6及以上版本的Linux內核都集成了SELinux模塊。學好SELinux是每個Linux系統管理員的必修課。一、項目知識準備SELinux通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

1.DACLinux上傳統的訪問控制標準是自主訪問控制（DiscretionaryAccessControl，DAC）。在這種形式下，一個軟件或守護進程以用戶ID（UserID，UID）或設置用戶ID（SetUserID，SUID）的身份運行，并且擁有該用戶的目標（文件、套接字，以及其他進程）權限。這使得惡意代碼很容易運行在特定權限之下，從而取得訪問關鍵子系統的權限。而最致命的問題是，root用戶不受任何管制，其可以無限制地訪問系統上的任何資源。一、項目知識準備SELinux通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

2.MAC在使用了SELinux的操作系統中，決定一個資源是否能被訪問的因素除了“某個資源是否擁有對應的用戶權限（讀、寫、執行）”之外，還需要判斷每一類進程是否擁有對某一類資源的訪問權限。這樣即使進程是以root用戶身份運行的，也需要判斷這個進程的類型以及允許訪問的資源類型，才能決定是否允許訪問某個資源，進程的活動空間也可以被壓縮到最小。即使是以root用戶身份運行的服務進程，一般也只能訪問到它需要的資源。即使程序出了漏洞，影響范圍也只在其允許訪問的資源范圍內，安全性大大提高。這種權限管理機制的主體是進程，這種機制稱為強制訪問控制（MandatoryAccessControl，MAC）。SELinux實際上就是MAC理論最重要的實現之一，并且SELinux從架構上允許DAC和MAC兩種機制都起作用。一、項目知識準備SELinux通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

3.SELinux工作機制與SELinux相關的概念如下。（1）主體（Subject）。（2）目標（Object）。（3）策略（Policy）。（4）模式（Mode）。當一個主體（如一個程序）嘗試訪問一個目標（如一個文件）時，內核中的SELinux安全服務器（SELinuxSecurityServer）將在策略數據庫（PolicyDatabase）中運行一個檢查。該檢查基于當前的模式，如果SELinux安全服務器授予權限，該主體就能夠訪問該目標；如果SELinux安全服務器未授予權限，就會在/var/log/messages中記錄一條拒絕信息。項目知識準備項目設計與準備項目實施項目實錄：配置與管理firewalld防火墻內容導航CONTENTS二、項目設計與準備項目設計與準備部署firewalld和NAT應滿足下列需求，完成的任務如下。（1）服務器安裝好企業版Linux網絡操作系統，并且必須保證常用服務正常工作。客戶端使用Linux或Windows網絡操作系統。服務器和客戶端能夠通過網絡進行通信。（2）或者利用虛擬機設置網絡環境。（3）3臺安裝好KylinOS的計算機。本項目要完成的任務如下。（1） 安裝與配置firewalld。（2） 配置SNAT和DNAT。可以使用VMwareWorkstation的“克隆”技術快速安裝需要的Linux客戶端。項目知識準備項目設計與準備項目實施項目實錄：配置與管理firewalld防火墻內容導航CONTENTS三、項目實施任務3-1使用firewalld服務KylinOS集成了多款防火墻管理工具，其中firewalld提供了支持在網絡/防火墻區域（zone）定義網絡連接以及接口安全等級的動態防火墻管理工具—Linux操作系統的動態防火墻管理器（DynamicFirewallManagerofLinuxSystems）。Linux操作系統的動態防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項目實施任務3-1使用firewalld服務1．使用終端管理工具命令行終端是一種極富效率的運行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項目實施任務3-1使用firewalld服務（2）使用終端管理工具實例。①查看firewalld服務當前狀態和使用的區域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默認區域public②查詢防火墻生效ens33

網卡在firewalld服務中的區域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看當前防火墻中生效的區域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #設定默認區域三、項目實施任務3-1使用firewalld服務（2）使用終端管理工具實例。③把firewalld服務中ens33

網卡的默認區域修改為external，并在系統重啟后生效。分別查看運行時模式與永久模式下的區域名稱。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定區域的火墻策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens33success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens33trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens33no

zone④把firewalld服務的當前默認區域設置為public。⑤啟動/關閉firewalld服務的應急狀況模式，阻斷一切網絡連接。三、項目實施任務3-1使用firewalld服務（2）使用終端管理工具實例。④把firewalld服務的當前默認區域設置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動/關閉firewalld服務的應急狀況模式，阻斷一切網絡連接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、項目實施任務3-1使用firewalld服務（2）使用終端管理工具實例。⑥查詢public區域是否允許請求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務中請求https的流量設置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設定的服務[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項目實施任務3-1使用firewalld服務2.使用圖形管理工具（1） 啟動圖形界面的firewalld。在終端執行命令“firewall-config”或者選擇“開始”→“所有程序”→“系統工具”→“防火墻”命令，打開如圖所示的firewall-config界面，其功能具體如下。①設置運行時模式或永久模式。②顯示可選的區域集合列表。③顯示常用的系統服務列表。④顯示當前正在使用的區域。⑤管理當前被選中區域中的服務。⑥管理當前被選中區域中的端口。⑦開啟或關閉SNAT技術。⑧設置端口轉發策略。⑨控制請求互聯網控制報文協議（InternetControlMessageProtocol，ICMP）服務的流量。三、項目實施任務3-1使用firewalld服務2.使用圖形管理工具（2）將當前區域中請求http服務的流量策略設置為允許，但僅限當前生效，具體配置如圖所示。三、項目實施任務3-2設置SELinux的模式SELinux有3個模式（可以由用戶設置），這些模式將規定SELinux在主體請求時如何應對。（1） enforcing（強制）：強制執行SELinux策略，基于SELinux策略規則授予或拒絕授予主體對目標的訪問權限。（2） permissive（寬容）：不強制執行SELinux策略，沒有實際拒絕訪問，但會有拒絕信息寫入日志文件/var/log/messages。（3） disabled（禁用）：完全禁用SELinux，使SELinux不起作用。三、項目實施任務3-2設置SELinux的模式1.使用配置文件設置SELinux的模式與SELinux相關的文件主要有以下3類。（1） /etc/selinux/config和/etc/sysconfig/selinux：主要用于打開和關閉SELinux。（2） /etc/selinux/targeted/contexts：主要用于對contexts的配置。contexts是SELinux的安全上下文，是SELinux實現安全訪問的重要功能。（3） /etc/selinux/targeted/policy：SELinux策略文件。對于大多數用戶而言，直接修改/etc/selinux/config和/etc/sysconfig/selinux文件來控制是否啟用SELinux就可以了。另外，提醒讀者，因為/etc/sysconfig/selinux文件是/etc/selinux/config的鏈接文件，所以只要修改一個文件的內容，另一個文件就會同步改變。三、項目實施任務3-2設置SELinux的模式【例3-1】查看/etc/selinux/config文件。[root@Server01~]#cat/etc/selinux/config–n【例3-2】查看SELinux的模式[root@Server01~]#sestatusSELinuxstatus: disabled項目知識準備項目設計與準備項目實施項目實錄：配置與管理firewalld防火墻內容導航CONTENTS項目4

配置與管理代理服務器《網絡服務器搭建、配置與管理Linux（麒麟/歐拉）》“十四五”職業教育國家規劃教材能力要求CAPACITY了解代理服務器的基本知識。0103了解文件權限設置內容。02掌握squid代理服務器的配置方法。思政導入IDEOLOGY了解中國國家頂級域名“CN”，了解中國互聯網發展中的大事和大師，激發學生的自豪感。思政目標IDEOLOGY“古之立大事者，不惟有超世之才，亦必有堅忍不拔之志”，鞭策學生努力學習。思政內容IDEOLOGY你知道我國是哪一年真正擁有了Internet嗎？中國國家頂級域名“CN”服務器是哪一年完成設置的呢？1994年4月20日，一條64kbit/s的國際專線從中國科學院計算機網絡信息中心通過美國Sprint公司連入Internet，實現了中國與Internet的全功能連接。從此我國被國際上正式承認為真正擁有全功能互聯網的國家。此事被我國新聞界評為1994年我國十大科技新聞之一，被國家統計，公報列為我國1994年重大科技成就之一。項目知識準備項目設計與準備項目實施項目實錄：配置與管理代理服務器內容導航CONTENTS一、項目知識準備代理服務器的工作原理當客戶端在瀏覽器中設置好代理服務器后，所有使用瀏覽器訪問Internet站點的請求都不會被直接發給目的主機，而是首先被發送至代理服務器，代理服務器接收到客戶端的請求以后，由代理服務器向目的主機發出請求，并接收目的主機返回的數據，將其存放在代理服務器的硬盤，然后由代理服務器將客戶端請求的數據轉發給客戶端。代理服務器的工作原理如圖所示。一、項目知識準備代理服務器的工作原理①當客戶端A對Web服務器提出請求時，此請求會首先被發送到代理服務器。②代理服務器接收到客戶端A的請求后，檢查緩存中是否存有客戶端A需要的數據。③如果代理服務器沒有客戶端A請求的數據，則它將向Web服務器提交請求。④Web服務器響應請求的數據。⑤代理服務器從Web服務器獲取數據后，將其保存至本地的緩存，以備以后查詢使用。⑥代理服務器向客戶端A轉發Web服務器的數據。⑦客戶端B訪問Web服務器，向代理服務器發出請求。⑧代理服務器查找緩存記錄，確認已經存在Web服務器的相關數據。⑨代理服務器直接回應查詢到的信息，而不需要再去Web服務器查詢，從而節約網絡流量，提高訪問速度。一、項目知識準備代理服務器的作用（1）提高訪問速度。因為用戶請求的數據被存于代理服務器的硬盤中，所以下次這個用戶或其他用戶再請求相同目的站點的數據時，會直接從代理服務器的硬盤中讀取，代理服務器起到了緩存的作用，提高了訪問速度。當熱門站點有很多用戶訪問時，代理服務器的優勢更為明顯。（2）限制用戶訪問。因為所有使用代理服務器的用戶都必須通過代理服務器訪問遠程站點，所以在代理服務器上可以設置相應的限制，以過濾或屏蔽某些信息。這是局域網網關限制局域網用戶訪問范圍常用的辦法，也是局域網用戶不能瀏覽某些網站的原因。撥號用戶如果使用代理服務器，則同樣必須服從代理服務器的訪問限制。（3） 提高安全性。無論是聊天還是瀏覽網站，目的網站只能知道使用的代理服務器的相關信息，而無法得知客戶端的真實IP地址，從而提高了用戶的安全性。項目知識準備項目設計與準備項目實施項目實錄：配置與管理代理服務器內容導航CONTENTS二、項目設計與準備項目設計與準備部署squid代理服務器應滿足下列需求。（1）安裝好企業版Linux網絡操作系統，并且必須保證常用服務正常工作。客戶端使用Linux或Windows網絡操作系統。服務器和客戶端能夠通過網絡進行通信。（2）或者利用虛擬機設置網絡環境。模擬互聯網的真實情況，需要3臺虛擬機，Linux服務器和客戶端的配置信息如表所示。主機名操作系統IP

地址角色內網服務器：Server01Kylin

V10/24（VMnet1）Web

服務器、firewalld

squid

代理服務器：Server02

Kylin

V10IP

地址1

：0/24（VMnet1）IP

地址2：12/24（VMnet8）

firewalld、squid外網Linux

客戶端：Client1Kylin

V1013/24（VMnet8）Web

服務器、firewalld項目知識準備項目設計與準備項目實施項目實錄：配置與管理代理服務器內容導航CONTENTS三、項目實施任務4-1安裝、啟動、停止與隨系統啟動squid服務1. squid軟件包與常用配置項（1） squid軟件包①軟件包名：squid。②服務名：squid。③主程序：/usr/sbin/squid。④配置目錄：/etc/squid/。⑤主配置文件：/etc/squid/squid.conf。⑥默認監聽端口：TCP3128。⑦默認訪問日志文件：/var/log/squid/access.log。（2） 常用配置項①http_port3128。②cache_access_log/var/log/squid/access.log。③visible_hostname。三、項目實施任務4-1安裝、啟動、停止與隨系統啟動squid服務(2)安裝、啟動、停止squid服務（在Server02上安裝[root@Server02~]#rpm-qa|grepsquid[root@Server02~]#mount/dev/cdrom/media[root@Server02~]#dnfcleanall#安裝前先清除緩存[root@Server02~]#dnfinstallsquid-y[root@Server02~]#systemctlstartsquid#啟動squid服務[root@Server02~]#systemctlenablesquid#開機自動啟動三、項目實施任務4-2配置squid服務1．幾個常用的參數參數作用http_port

3128設置監聽的端口為3128cache_mem

64M設置內存緩沖區的大小為64MBcache_dir

ufs

/var/spool/squid

2000

16

256設置硬盤緩存大小為2000MB，緩存目錄為/var/spool/squid，一級子目錄16

個，二級子目錄256

個cache_effective_user

squid設置緩存的有效用戶cache_effective_group

squid設置緩存的有效用戶組dns_nameservers

[IP

地址]一般不設置，而是用服務器默認的DNS

地址cache_access_log

/var/log/squid/access.log訪問日志文件的保存路徑cache_log

/var/log/squid/cache.log緩存日志文件的保存路徑visible_hostname

設置squid

服務器的名稱三、項目實施任務4-2配置squid服務2.設置訪問控制列表squid代理服務器是客戶端與Web服務器之間的中介，它實現訪問控制，決定哪一臺計算機可以訪問Web服務器以及如何訪問。Squid代理服務器通過檢查具有控制信息的主機和域的訪問控制列表（AccessControlList，ACL）來決定是否允許某計算機訪問。ACL是控制用戶的主機和域的列表。使用acl命令可以定義ACL，該命令能在控制項中創建標簽。用戶可以使用http_access等命令定義這些控制功能，可以基于多種acl選項，如源IP地址、域名，甚至日期和時間等來使用acl命令定義系統或者系統組。三、項目實施任務4-2配置squid服務（1） acl命令acl命令的格式如下。

aclACL名稱 ACL類型[-i]ACL值 其中，ACL名稱用于區分squid的各個ACL，任何兩個ACL不能用相同的ACL名稱。一般來說，為了便于區分ACL的含義，應盡量使用意義明確的名稱。ACL類型用于定義可被squid識別的類別，如IP地址、主機名、域名、日期和時間等類別。ACL類型及說明如表所示。三、項目實施任務4-2配置squid服務ACL

類型說明src

ip-address/netmask客戶端源IP

地址和子網掩碼src

addr1-addr4/netmask客戶端源IP

地址范圍dst

ip-address/netmask客戶端目標IP

地址和子網掩碼myip

ip-address/netmask本地套接字IP

地址srcdomain

domain源域名（客戶端所屬的域）dstdomain

domain目的域名（Internet

中服務器所屬的域）srcdom_regex

expression對源URL

進行正則表達式匹配dstdom_regex

expression對目的URL

進行正則表達式匹配

time指定時間。用法：acl

aclnametime[day-abbrevs][h1:m1-h2:m2]其中day-abbrevs

可以為S（Sunday）、M（Monday）、T（Tuesday）、W（Wednesday）、H（Thursday）、F（Friday）、A（Saturday）注意：h1:m1

一定要比h2:m2

小port指定連接端口，如acl

SSL_ports

port

443proto指定使用的通信協議，如acl

allowprotolist

proto

HTTPurl_regex設置URL

規則匹配表達式urlpath_regex:URL-path設置略去協議和主機名的URL

規則匹配表達式三、項目實施任務4-2配置squid服務（2）http_access設置允許或拒絕某個ACL的訪問請求，格式如下。

http_access[allow|deny]ACL名稱 squid代理服務器在定義ACL后，會根據http_access的規則允許或拒絕滿足一定條件的客戶端的訪問請求。【例4-1】拒絕所有客戶端的請求。aclallsrc/http_accessdenyall三、項目實施任務4-2配置squid服務【例4-2】禁止/24的用戶上網。aclclient1src/http_accessdenyclient1【例4-3】禁止用戶訪問域名為www.***.com的網站。aclbaddomaindstdomainwww.***.comhttp_accessdenybaddomain【例4-4】禁止/24的用戶在星期一到星期五的9:00～18:00上網。aclclient1src/aclbadtimetimeMTWHF9:00-18:00http_accessdenyclient1badtime【例4-5】禁止用戶下載.mp3、.exe、.zip和.rar文件。aclbadfileurlpath_regex-i\.mp3$\.exe$\.zip$\.rar$http_accessdenybadfile三、項目實施任務4-2配置squid服務【例4-6】屏蔽www.***.gov站點。aclbadsitedstdomain-iwww.***.govhttp_accessdenybadsite-i表示忽略字母大小寫，默認情況下squid是區分大小寫的。【例4-7】屏蔽所有包含“sex”的URL路徑。aclsexurl_regex-isexhttp_accessdenysex【例4-8】禁止訪問22、23、25、53、110、119這些危險端口。acldangerous_portport22232553110119http_accessdenydangerous_port三、項目實施企業實戰與應用利用squid和NAT功能可以實現透明代理。透明代理是指客戶端根本不需要知道有代理服務存在，客戶端也不需要在瀏覽器或其他的客戶端中進行任何設置，只需要將默認網關設置為Linux服務器的IP地址（內網IP地址）即可。企業環境和需求三、項目實施手動設置代理服務器的解決方案（1）在Server02上安裝雙網卡。具體方法參見3.4.2節的相關內容。編者的計算機的第1塊網卡是ens160，系統自動命名第2塊網卡為ens36。（2）配置IP地址、網關等信息。①在Server01上設置IP地址等信息。②在Client1上安裝httpd服務，讓防火墻允許該服務通過，并測試默認網絡配置是否成功。[root@Client1~]#mount/dev/cdrom/media#掛載安裝光盤[root@Client1~]#dnfcleanall[root@Client1~]#dnfinstallhttpd-y#安裝Web服務器[root@Client1~]#systemctlstarthttpd三、項目實施手動設置代理服務器的解決方案續上[root@Client1~]#systemctlenablehttpd[root@Client1~]#systemctlstartfirewalld[root@Client1~]#firewall-cmd--permanent--add-service=http#讓防火墻放行httpd服務[root@Client1~]#firewall-cmd--reload[root@Client1~]#firefox13#測試Web服務器配置是否成功三、項目實施手動設置代理服務器的解決方案2．在Server02上安裝squid服務（前面已安裝），配置squid服務（行號為大致位置）[root@Server02~]#vim/etc/squid/squid.conf……55acllocalnetsrc/856http_accessallowlocalnet57http_accessdenyall#上面3行的意思是，定義

的網絡為localnet，允許訪問localnet，其他都被拒絕64http_port312867cache_dirufs/var/spool/squid1024016256#設置硬盤緩存大小為10GB，目錄為/var/spool/squid，一級子目錄16個，二級子目錄256個68visible_hostnameServer02[root@Server02~]#systemctlstartsquid[root@Server02~]#systemctlenablesquid三、項目實施手動設置代理服務器的解決方案3．在Server01上測試代理設置是否成功（1）打開Firefox瀏覽器，配置代理服務器。在瀏覽器中，按“Alt”鍵調出菜單，單擊“編輯”→“首選項”→“常規”→“網絡設置”→“設置”，打開“連接設置”對話框，選中“手動代理配置”，將HTTP代理設為“0”，端口設為“3128”，如圖所示。設置完成后單擊“確定”按鈕。三、項目實施手動設置代理服務器的解決方案3．在Server01上測試代理設置是否成功（2）在瀏覽器地址欄中輸入13，按“Enter”鍵，出現圖所示的不能正常連接界面。三、項目實施手動設置代理服務器的解決方案4．排除故障（1）解決方案：在Server02上設置防火墻，當然也可以停止全部防火墻。[root@Server02~]#firewall-cmd--permanent--add-service=squid[root@Server02~]#firewall-cmd--permanent--add-port=80/tcp[root@Server02~]#firewall-cmd--reload[root@Server02~]#netstat-an|grep:3128#3128端口正常監聽tcp600:::3128:::*LISTEN三、項目實施手動設置代理服務器的解決方案4．排除故障（2）在Server01瀏覽器地址欄中輸入13，按“Enter”鍵，出現如圖所示。三、項目實施手動設置代理服務器的解決方案5．在Server02上查看日志文件[root@Server02~]#vim/var/log/squid/access.log1690613612.5655TCP_MISS/4034379GEThttp:#13/-HIER_DIRECT/13text/html三、項目實施客戶端不需要配置代理服務器的解決方案（1）在Server02上配置squid服務，前文開放squid防火墻和端口的內容仍適用于本任務。①修改squid.conf配置文件，在“http_port3128”下面增加如下內容并重新加載該配置。[root@Server02~]#vim/etc/squid/squid.conf64http_port312864http_port3129transparent[root@Server02~]#systemctlrestartsquid[root@Server02~]#netstat-an|grep:3128#查看端口是否啟動監聽（很重要）tcp600:::3128:::*LISTEN[root@Server02~]#netstat-an|grep:3129#查看端口是否啟動監聽（很重要）tcp600:::3129:::*LISTEN三、項目實施客戶端不需要配置代理服務器的解決方案②添加firewalld規則，將TCP端口為80的訪問直接轉向3129端口。重啟防火墻和squid。[root@Server02~]#firewall-cmd--permanent--add-forward-port=port=80:proto=tcp:toport=3129success[root@Server02~]#firewall-cmd--reload[root@Server02~]#systemctlrestartsquid三、項目實施客戶端不需要配置代理服務器的解決方案（2）在Server01上測試代理設置是否成功。①打開Firefox瀏覽器，配置代理服務器。在瀏覽器中，按“Alt”鍵調出菜單，單擊“編輯”→“首選項”→“常規”→“網絡設置”→“設置”，打開“連接設置”對話框，選中“不使用代理服務器”，將代理服務器設置清空。②設置Server01的網關為0。（刪除網關是將add改為del。）[root@Server01~]#routeadddefaultgw0#網關一定要設置③在S