防火墙建设论文.doc

秦皇岛职业技术学院课程设计论文设计题冃： Linux下的防火墙建设学生姓名： 龚玉银 指导教师： 李鹏飞焦铜专业名称： 网络系统管理所在院系： 信息丁程系 2009 年 12 H 20 EI摘要随着Internet网络的日益发展，Linux作为一个现代的操作系统，正 在各个方面得到广泛的应用Linux在服务器、嵌入式等方面已经取 得不 俗的成绩，在桌面系统方面，也逐渐爱到欢迎于是Linux的安全问题也 逐渐受到人们的重视Linux为增加系统安全性提供了防火墙保护防火墙存在于你的计算 机和网络Z间，用来判肚网络中的远程用户有权访问你的计算机上的哪些 资源一个正确配置的防火墙可以极大地増加你的系统安全性针对不同资源提供不同安全级别的保护，可以考虑构建一个DMZ区 域DMZ可以理解为一个不同于外网或内网的特殊网络区域DMZ内通 常放置一些不含机密信息的公用服务器，比如Web、Mail. FTP等这样 来口外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网 中的公司机密或私人信息等即使DMZ中服务器受到破坏，也不会对内 网中的机密信息造成影响关键字：Linux系统防火墙网络安全服务器 DMZ目录第1章 选题及本次课程设计的任务 11」查找资料 11.2选题 11.3总结数据、明确任务 11.4木次设计的重大意义 11.5木章小节 1第2章 设计实现的详细步骤 22」需求分析 22.2 Linux下服务器的安装与配置 22.3 Linux防火墙的创建 82.4本章小节 12第3章 设计中遇到的重点及难点 133」设计中遇到的重点 133.2设计中遇到的难点 143.3 木章小节 14第4章 本次设计中存在不足与改良方案 154」本次设计的不足 154.2本次设计的改良方案 164.3木章小节 16结 论 17参考文献 18致 谢 19指导教师评语 20答辩委员会评语 21第1章 选题及本次课程设计的内容本次课程设计的资料主要來自百度网，在百度中搜到一些关于Linux 系统和Linux防火墙建设的材料。

1.2选题本次课程设计的题口是Linux下的防火墙建设运用防火墙的建设來 营造安全的网络1.3总结数据、明确任务本次课设的设计是在401机房的基础上进行设计，401机房有计算机 40台，交换机4台为cisco3950,计算机硬件设备为硬盘60G,内存512M在计算机上的虚拟机上装上Linux系统，然后进行防火墙设置和服务 器安装配置1.4本次设计的重大意义针对Linux系统由于开放其源代码而导致其系统安全性漏洞增多的现 实，在分析Linux系统的不安全因索及漏洞的基础上，重点分析提高Linux 系统网络安全应用的措施，同时结合电子商务的实际应用给出网络安全解 决方案，对于Linux网络应用安全防范有参考借鉴的意义1.5本章小节Linux是国际互联网发展的产物由于Linux操作系统是免费的，因 此Linux在我国的应用领域得到很快的发展由于投资成本的原因，许多 中小企业渐渐开始使用Linux于中小型服务器国际互联网的发展促进了 网络资源共享，与此同时也带来了许多网络安全问题网络安全成了网络 用户关心的一个热点问题本文讨论Linux的网络安全问题第2章设计实现的详细步骤2.1需求分析软駛件要求充当防火墙的机器是一台支持iptables的Linux系统，装有三个网卡。

2.2 Linux下服务器的安装与配置2.2.1在Linux建立FTP服务器方法步骤实现了 Apache多用户的虚拟主机配置，那么一般这些用户都会选择 用ftp上传的方式来管理自己的web内容，这就需耍我们再为他们开设FTP 服务Ubuntu 口带的FTP服务器是vsftpdo1 安装 vsftpdUbuntu安装软件不是件困难的事，输入：sudo apt・get install vsftpd假如没找到可能会提示您使用光盘，放进去再按回车就行了安装了之后会在/home/下建立一个ftp目录这时候您能够试着访问 下ftp://IP地址应该能够看到一个空白内容的ftp空间默认配置下匿名用户能够下载，但不能写入或是上传2、配置 vsftpd.conf 文档现在我们要让匿名用户无法访问，并且得输入linux上的用户密码后 才能访问到他们自己目录里的内容首先找到配置vsftpd的文档，位置irt/etc/vsftpd.conf修改之前最好先备份F这个文档：sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.old #不让匿名用户使用# anonymous_enable=YES#本地用户可用local_enable=YES # 可用写操作write_enable=YES#无需显示某冃录下文档信息#dirmessage_enable=YES#加点banner提示ftpd_banner=Hello--〜#FTP服务器最大承载用户max_clients=100#限制每个IP的进程max_per_ip=5#最人传输速率(b/s)local_max」ate=256000#隐藏帐号hide_ids=YESftp服务器配置成功。

新的问题1、 输入用户名密码后显示的位置是在用户的根目录下，而我们的WEB内容是在public_html日录里2、 用户能够跳到任何其他目录要解决这些问题我们还得配置下vsftpd.conf#启动 chroot 列表(Change root)chroot_list_enable=YES #指定列表位置(我这用的是默认地址)chroot_list_file=/etc/vsftpd.chroot_list接下来我们得在vsftpd.chroot_list上写进去我们要限制哪些用户，不 让他们随便进出现在有用户linyupark,所以只要sudo nano 一下，往里面写就行了 这样我们己解决第2个问题了，登陆的用户只能在他的用户文档夹里 活动，下面我们耍更狠一点，让他只能在public.html里活动依然还是找vsftpd.conf#这句默认配置里是没有的user_config_dir=/etc/自己定义一个配置个别用户用的文档夹地址 根据门己配置的地址，建立一个相应的文档夹，然后往里面建立和用 户名相同的文档，nano —下：#本地用户的根地址，假设用户是linyuparklocal_root=/home/linyupark/public_html重启下服务器。

2.2.2在Linux下创建WWW服务器Linux下常见的免费万维网服务器有CERN httpd> NCSA httpd和 Apacheo下面，以Apache HTTP服务器为例，介绍万维网服务器的安 装和配置一、 使用源代码安装(1) 获得源代码lynx http://www.apache.org/dist/httpd/httpd-2_0_NN.tar.gz(2) 解压缩gzip -d httpd-2_0_NN.tar.gztar xvf httpd-2_0_NN.tar(3) 配置../configure —prefix= /usr/local/apache表示 Apache 将安装在/usr/local/apache |=| 录下(4) 编译与安装makemake install(5) 测试/usr/local/apache/bin/apachectl start完成安装后，配置文件在/etc/httpd/conf/H录下，文件根忖录为 /var/www/html,工具文件在/etc/rc.d/init.d/ 目录下,日志文件在/var/log/httpd/ 目录下二、 Apache 2.0 的配置Apache 2.0的主配置文件为httpd.confo如果以上述源代码安装则配置 文件保存在/usr/local/apache/conf/H录下，若以RPM包方式安装则配置文 件保存在/etc/httpd/conf/目录下。

我们可以直接修改httpd.conf文件也可以 R1 redhat linux 9自带的图形化工具来配置打开启动程序・>系统设置・>服 务器设置->HTTP服务器，可以进行相关设置Port 80 #定义了 web服务器的侦听端口，默认值为80,它是TCP网 络端口之一若写入多个端口，以最后一个为准User apache #一般情况下，以nobody用户和nobody组来运行web服 务黠，因为web Group apache #服务器发出的所有的进程都是以root用户 身份运行的，存在安全风险ServerAdmin root@localhost #指定服务器管理员的E-mail地址服务 器自动将错误报告到该地址ServerRoot /etc/httpd #服务器的根口录，一般情况下，所有的配置文件 在该目录FServerName new.host.name:80 #web 客户搜索的主机名称KeepAliveTimeout 15 #规定了连续请求之间等待15秒，若超过，则重 新建立一条新的TCP连接MaxKeepAliveRequests 100 #永久连接的 HTTP 请求数 MaxClients 150 #同一时间连接到服务器上的客户机总数 ErrorLog logs/error_log #用来指定错误H志文件的名称和路径 PidFile run/httpd.pid #用来存放httpd进程号，以方便停止服务器。

Timeout 300 #设置请求超时时间，若网速较慢则应把值设大 DocumentRoot /var/www/html #用來存放网页文件2.2.3.酉己置telnet服务器1. 安装 telnet-server 软件包[root@linuxchao root]mount /dev/hda6 /mnt/da #da 是我在/mnt 下建立的目录，hda6分区为centos镜像所在[root@linuxchao root]mount -t iso9660 loop /mnt/da/CentOS-5.1-i386-bin-DVD.iso /nmt/iso #iso 目录也是我建的froot@linuxchao root]cd /mnt/iso/CentOS #这个目录是 rpm包所在的目录[root@linuxchao root]rpm -ivh telnet-server-0.17-38.el5.rpm上面就安装好telnet服务器软件包了，现在來查看一卜[root@linuxchao root]#rpm -qa Igrep telnettelnet-0.17-38.el5telnet-server-0.17-38.el52. 设置telnet-server的启动运行telnet server不作为独立的服务器程序运行，而是受xinetd程序的控 制，启动配置文件为/etc/xinetd.d/telnet,默认xinetd程序并不启动该服务, 可在 chkconfig —list 看出 telnet 是关闭的,/etc/xinetd.d/telnet 中 disable=yes 可通过下面的方式启动telnet server：1) chkconfig telnet on 〃该命令修改了/etc/xinetd.d/t。