[工学]Linux网络管理及应用-第10章.ppt

使用FreeS/WAN配置VPN （Cont.） 配置 VPN网络结构图 使用FreeS/WAN配置VPN（Cont.） 配置（Cont.） 配置文件 /etc/ipsec.conf 四条连接通道 左边网络对右边网络 左边网络对右边网关 左边网关对右边网络 左边网关对右边网关 配置文件/etc/ipsec.secrets 使用ipsec newhostkey filename命令生成 VPN的使用与调试 启动 /etc/rc.d/init.d/ipsec start 建立连接通道 ipsec auto -up lnet-rnet ipsec auto -up lnet-rgate ipsec auto -up lgate-rnet ipsec auto -up lgate-rgate VPN的使用与调试（Cont.） 调试 使用netstat命令查看路由信息 使用ipsec whack --status 命令查看连接的通道信息 使用ping测试左右网络的内部主机与对方主机的通信情况 自动启动连接通道 本章总结 TCP Wrapper为Linux对外的服务提供了安全检测的机制，它使用tcpd在指定的网络服务上加上安全防护层，对于外来连接均通过tcpd的安全检测后才交给真正的网络服务进程处理。 TCP Wrapper的功能来自于libwrap.a，它是一个网络服务库。TCP Wrapper与xinetd相结合提供对系统服务更安全、方便的管理方式。 tcpd的安全检测的信息来自于/etc/hosts.allow和/etc/hosts.deny文件提供的访问控制列表。 本章总结（Cont.） SSH通过传输加密数据防止网络数据被窃听的问题；通过密钥认证证机制防止中间人攻击。通过应用加密通道，为其它传统的网络服务提供了数据安全传输的服务。 OpenSSH是源码公开的SSH实现产品，提供了传统telnet的功能，包括其它传统网络服务工具的替代品：scp、sftp、srync及加密通道等。 VPN将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网。VPN提供了数据加密、信息和身份认证、访问控制、多协议支持的功能，主要通过隧道、加解密、密钥管理、使用者与设备身份认证四个方面的技术来实现上述安全功能。 本章总结（Cont.） VPN实现体系中最重要的是隧道技术，使用比较多的包括五种隧道技术：IPsec、PPTP、L2F、L2TP、SSL。 FreeS/WAN是基于IPsec技术的VPN实现。它通过对Linux内核应用补丁文件而嵌入到内核的网络处理模块中工作。 FreeS/WAN的配置文件是/etc/ipsec.conf和/etc/ipsec.secrets，分别用来配置连接隧道和密钥管理信息 Linux网络管理及应用 第10章 VPN 服务器的配置与应用 目标 了解网络安全相关的概念 了解TCP Wrappers的概念 掌握配置tcpd服务进行主机登录的限制 了解SSH基本概念与起源 掌握OpenSSH的安装配置及应用 了解VPN的基本概念与实现种类 掌握使用FreeS/WAN配置VPN的方法 TCP Wrappers TCPD的概念 hosts.deny和hosts.allow TCPD的概念 tcpd libwrapper.a tcpd telnet server ftp server …… …… /etc/hosts.allow telnet 9,… ftp … /etc/hosts.deny ftp 9 … TCPD的概念（Cont.） xinetd 传统方式 xinetd方式 服务器守护进程 停止服务器守护进程 注册服务器到 xinetd服务 启动xinetd服务 监听所有已注册 的服务器的端口 客户端 xinetd接收到 对某个端口的 连接请求 xinetd服务器继续 监听其它连接请求 xinetd启动注册的 服务器程序，接受 和处理这个连接 TCPD的概念（Cont.） tcpd在xinetd中的使用 xinetd必须编译libwrapper库的支持 改变xinetd中监听到连接请求后启动的程序 hosts.deny和hosts.allow 语法 daemon_list : client_list [ : shell_command] 访问控制列表的访问 tcpd hosts.allow 无匹配项 hosts.deny 接受访问 无匹配项 接受访问 拒绝访问 有匹配项 有匹配项 hosts.deny和hosts.allow（Cont.） 配置访问控制列表 1、拒绝所有的访问请求（/etc/hosts.deny） 2、配置允许访问的主机和服务 SSH SSH的起源与原理 OpenSSH