# 9.1 認識防火墻
## 9.1 認識防火墻
網絡安全除了隨時注意相關軟件的漏洞以及網絡上的安全通報之外,你最好能夠依據自己的環境來訂定防火墻機制! 這樣對于你的網絡環境,會比較有保障一點喔!那么什么是防火墻呢?其實防火墻就是透過訂定一些有順序的規則,并管制進入到我們網域內的主機 (或者可以說是網域) 數據封包的一種機制!更廣義的來說,只要能夠分析與過濾進出我們管理之網域的封包數據, 就可以稱為防火墻。
防火墻又可以分為硬件防火墻與本機的軟件防火墻。硬件防火墻是由廠商設計好的主機硬件, 這部硬件防火墻內的操作系統主要以提供封包數據的過濾機制為主,并將其他不必要的功能拿掉。因為單純作為防火墻功能而已, 因此封包過濾的效率較佳。至于軟件防火墻呢?那就是我們這個章節要來談論的啊! 軟件防火墻本身就是在保護系統網絡安全的一套軟件(或稱為機制),例如 Netfilter 與 TCP Wrappers 都可以稱為軟件防火墻。
無論怎么分,反正防火墻就是用來保護我們網絡安全的咚咚就對啦!我們這個章節主要在介紹 Linux 系統本身提供的軟件防火墻的功能,那就是 Netfilter 。至于 TCP Wrappers 雖然在基礎篇的[第十八章認識系統服務](http://linux.vbird.org/linux_basic/0560daemons.php#tcp_wrappers)里面談過了,我們這里還會稍微簡單的介紹啦!
- - - - - -
### 9.1.1 開始之前來個提醒事項
由于本章主要的目的在介紹 Netfilter 這種封包過濾式的防火墻機制,因此網絡基礎里面的許多封包與訊框的概念要非常清楚, 包括網域的概念, IP 網域的撰寫方式等,均需有一定的基礎才行。請到[第二章](http://linux.vbird.org/linux_server/0110network_basic.php)加強一下 [MAC](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_link_mac), [IP](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_network_head), [ICMP](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_network_icmp), [TCP](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_transfer_tcp), [UDP](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_transfer_udp) 等封包表頭數據的認識,以及 Network/Netmask 的整體網域 ([CIDR](http://linux.vbird.org/linux_server/0110network_basic.php#tcpip_network_netmask)) 寫法等。
另外,雖然 Netfilter 機制可以透過 iptables 指令的方式來進行規則的排序與修改,不過鳥哥建議你利用 shell script 來撰寫屬于你自己的防火墻機制比較好,因為對于規則的排序與匯整有比較好的觀察性, 可以讓你的防火墻規則比較清晰一點。所以在你開始了解底下的資料之前,希望你可以先閱讀過相關的數據了:
- 已經認識 [Shell](http://linux.vbird.org/linux_basic/0320bash.php) 以及 [Shell script](http://linux.vbird.org/linux_basic/0340bashshell-scripts.php);
- 已經閱讀過[第二章網絡基礎](http://linux.vbird.org/linux_server/0110network_basic.php)的內容;
- 已經閱讀過[第七章認識網絡安全](http://linux.vbird.org/linux_server/0210network-secure.php)的內容;
- 已經閱讀過[第八章路由器](http://linux.vbird.org/linux_server/0230router.php)的內容,了解重要的路由概念;
- 最好擁有兩部主機以上的小型局域網絡環境,以方便測試防火墻;
- 做為區域防火墻的 Linux 主機最好有兩張實體網卡,可以進行多種測試,并架設 NAT 服務器;
- - \*
### 9.1.2 為何需要防火墻
仔細分析[第七章的圖 7.1-1](http://linux.vbird.org/linux_server/0210network-secure.php#fig7.1-1) 可以發現, 封包進入本機時,會通過防火墻、服務器軟件程序、SELinux與文件系統等。所以基本上,如果你的系統 (1)已經關閉不需要而且危險的服務; (2)已經將整個系統的所有軟件都保持在最新的狀態; (3)權限設定妥當且定時進行備份工作; (4)已經教育用戶具有良好的網絡、系統操作習慣。 那么你的系統實際上已經頗為安全了!要不要架設防火墻?那就見仁見智啰!
不過,畢竟網絡世界是很復雜的,而 Linux 主機也不是一個簡單的東西,說不定哪一天你在進行某個軟件的測試時, 主機突然間就啟動了一個網絡服務,如果你沒有管制該服務的使用范圍,那么該服務就等于對所有 Internet 開放, 那就麻煩了!因為該服務可能可以允許任何人登入你的系統,那不是挺危險?
所以啰,防火墻能作什么呢?防火墻最大的功能就是幫助你『限制某些服務的存取來源』! 舉例來說: (1)你可以限制文件傳輸服務 (FTP) 只在子域內的主機才能夠使用,而不對整個 Internet 開放; (2)你可以限制整部 Linux 主機僅可以接受客戶端的 WWW 要求,其他的服務都關閉; (3)你還可以限制整部主機僅能主動對外聯機。反過來說,若有客戶端對我們主機發送主動聯機的封包狀態 (TCP 封包的 SYN flag) 就予以抵擋等等。這些就是最主要的防火墻功能了!
所以鳥哥認為,防火墻最重要的任務就是在規劃出:
- 切割被信任(如子域)與不被信任(如 Internet)的網段;
- 劃分出可提供 Internet 的服務與必須受保護的服務;
- 分析出可接受與不可接受的封包狀態;
當然啦,咱們 Linux 的 iptables 防火墻軟件還可以進行更細部深入的 NAT (Network Address Translation) 的設定,并進行更彈性的 IP 封包偽裝功能,不過,對于單一主機的防火墻來說, 最簡單的任務還是上面那三項就是了!所以,你需不需要防火墻呢?理論上,當然需要! 而且你必須要知道『你的系統哪些數據與服務需要保護』,針對需要受保護的服務來設定防火墻的規則吧! 底下我們先來談一談,那在 Linux 上頭常見的防火墻類型有哪些?
- - - - - -
### 9.1.3 Linux 系統上防火墻的主要類別
基本上,依據防火墻管理的范圍,我們可以將防火墻區分為網域型與單一主機型的控管。在單一主機型的控管方面, 主要的防火墻有封包過濾型的 Netfilter 與依據服務軟件程序作為分析的 TCP Wrappers 兩種。若以區域型的防火墻而言, 由于此類防火墻都是當作路由器角色,因此防火墻類型主要則有封包過濾的 Netfilter 與利用代理服務器 (proxy server) 進行存取代理的方式了。
- Netfilter (封包過濾機制)
所謂的封包過濾,亦即是分析進入主機的網絡封包,將封包的表頭數據捉出來進行分析,以決定該聯機為放行或抵擋的機制。 由于這種方式可以直接分析封包表頭數據,所以包括硬件地址(MAC), 軟件地址 (IP), TCP, UDP, ICMP 等封包的信息都可以進行過濾分析的功能,因此用途非常的廣泛。(其實主要分析的是 OSI 七層協議的 2, 3, 4 層啦)
在 Linux 上面我們使用核心內建的 Netfilter 這個機制,而 Netfilter 提供了 iptables 這個軟件來作為防火墻封包過濾的指令。由于 Netfilter 是核心內建的功能,因此他的效率非常的高! 非常適合于一般小型環境的設定呢!Netfilter 利用一些封包過濾的規則設定,來定義出什么資料可以接收, 什么數據需要剔除,以達到保護主機的目的喔!
- TCP Wrappers (程序控管)
另一種抵擋封包進入的方法,為透過服務器程序的外掛 (tcpd) 來處置的!與封包過濾不同的是, 這種機制主要是分析誰對某程序進行存取,然后透過規則去分析該服務器程序誰能夠聯機、誰不能聯機。 由于主要是透過分析服務器程序來控管,因此與啟動的埠口無關,只與程序的名稱有關。 舉例來說,我們知道 FTP 可以啟動在非正規的 port 21 進行監聽,當你透過 Linux 內建的 TCP wrappers 限制 FTP 時, 那么你只要知道 FTP 的軟件名稱 (vsftpd) ,然后對他作限制,則不管 FTP 啟動在哪個埠口,都會被該規則管理的。
- Proxy (代理服務器)
其實代理服務器是一種網絡服務,它可以『代理』用戶的需求,而代為前往服務器取得相關的資料。就有點像底下這個圖示吧:
圖 9.1-1、Proxy Server 的運作原理簡介
```
以上圖為例,當 Client 端想要前往 Internet 取得 Google 的數據時,他取得數據的流程是這樣的:
1. client 會向 proxy server 要求數據,請 proxy 幫忙處理;
2. proxy 可以分析使用者的 IP 來源是否合法?使用者想要去的 Google 服務器是否合法? 如果這個 client 的要求都合法的話,那么 proxy 就會主動的幫忙 client 前往 Google 取得資料;
3. Google 所回傳的數據是傳給 proxy server 的喔,所以 Google 服務器上面看到的是 proxy server 的 IP 啰;
4. 最后 proxy 將 Google 回傳的數據送給 client。
這樣了解了嗎?沒錯, client 并沒有直接連上 Internet ,所以在實線部分(步驟 1, 4)只要 Proxy 與 Client 可以聯機就可以了!此時 client 甚至不需要擁有 public IP 哩!而當有人想要攻擊 client 端的主機時, 除非他能夠攻破 Proxy server ,否則是無法與 client 聯機的啦!
另外,一般 proxy 主機通常僅開放 port 80, 21, 20 等 WWW 與 FTP 的埠口而已,而且通常 Proxy 就架設在路由器上面,因此可以完整的掌控局域網絡內的對外聯機!讓你的 LAN 變的更安全啊! 由于一般小型網絡環境很少會用到代理服務器,因此本書并沒有談到 proxy server 的設定,有興趣的話可以參考一下[第十七章 squid](http://linux.vbird.org/linux_server/0420squid.php) ([注1](#ps1)) 這個軟件的官網或 google 一下吧!
```
- - - - - -
### 9.1.4 防火墻的一般網絡布線示意
由前面的說明當中,你應該可以了解到一件事,那就是防火墻除了可以『保護防火墻機制本身所在的那部主機』之外,還可以『保護防火墻后面的主機』。也就是說,防火墻除了可以防備本機被入侵之外, 他還可以架設在路由器上面藉以控管進出本地端網域的網絡封包。 這種規劃對于內部私有網域的安全也有一定程度的保護作用呢!底下我們稍微談一談目前常見的防火墻與網絡布線的配置吧:
- 單一網域,僅有一個路由器:
防火墻除了可以作為 Linux 本機的基本防護之外,他還可以架設在路由器上面以管控整個局域網絡的封包進出。 因此,在這類的防火墻上頭通常至少需要有兩個接口,將可信任的內部與不可信任的 Internet 分開, 所以可以分別設定兩塊網絡接口的防火墻規則啦!簡單的環境如同下列圖 9.1-2 所示。
在圖 9.1-2 中,由于防火墻是設定在所有網絡封包都會經過的路由器上頭, 因此這個防火墻可以很輕易的就掌控到局域網絡內的所有封包, 而且你只要管理這部防火墻主機,就可以很輕易的將來自 Internet 的不良網絡封包抵擋掉吶。 只要管理一部主機就能夠造福整的 LAN 里面的 PC,很劃算的啦。
如果你想要將局域網絡控管的更嚴格的話,那你甚至可以在這部 Linux 防火墻上面架設更嚴格的代理服務器, 讓客戶端僅能連上你所開放的 WWW 服務器而已,而且還可以透過代理服務器的登錄文件分析功能, 明確的查出來那個使用者在某個時間點曾經連上哪些 WWW 服務器,你瞧瞧!厲害吧! 如果在這個防火墻上面再加裝類似 [MRTG](http://linux.vbird.org/linux_security/old/04mrtg.php) 的流量監控軟件,還能針對整個網域的流量進行監測。這樣配置的優點是:
- 因為內外網域已經分開,所以安全維護在內部可以開放的權限較大!
- 安全機制的設定可以針對 Linux 防火墻主機來維護即可!
- 對外只看的到 Linux 防火墻主機,所以對于內部可以達到有效的安全防護!
圖 9.1-2、單一網域,僅有一個路由器的環境示意圖
- 內部網絡包含安全性更高的子網,需內部防火墻切開子網:
一般來說,我們的防火墻對于 LAN 的防備都不會設定的很嚴格,因為是我們自己的 LAN 嘛!所以是信任網域之一啰!不過,最常聽到的入侵方法也是使用這樣的一個信任漏洞! 因為你不能保證所有使用企業內部計算機的用戶都是公司的員工,也無法保證你的員工不會『搞破壞!』 更多時候是由于某些外來訪客利用移動式裝置 (筆記本電腦) 連接到公司內部的無線網絡來加以竊取企業內部的重要信息。
呵呵!所以,如果你有特別重要的部門需要更安全的保護網絡環境,那么將 LAN 里面再加設一個防火墻,將安全等級分類,那么將會讓你的重要數據獲得更佳的保護喔!整個架構有點像下圖所示。
圖 9.1-3、內部網絡包含需要更安全的子網防火墻
- 在防火墻的后面架設網絡服務器主機
還有一種更有趣的設定,那就是將提供網絡服務的服務器放在防火墻后面,這有什么好處呢? 如下圖所示,Web, Mail 與 FTP 都是透過防火墻連到 Internet 上面去,所以, 底下這四部主機在 Internet 上面的 Public IP 都是一樣的!(這個觀念我們會在本章底下的 NAT 服務器的時候再次的強調)。 只是透過防火墻的封包分析后,將 WWW 的要求封包轉送到 Web 主機,將 Mail 送給 Mail Server 去處理而已(透過 port 的不同來轉遞)。
好了,因為四部主機在 Internet 上面看到的 IP 都相同,但是事實上卻是四部不同的主機, 而當有攻擊者想要入侵你的 FTP 主機好了,他使用各種分析方法去進攻的主機,其實是『防火墻』那一部, 攻擊者想要攻擊你內部的主機,除非他能夠成功的搞定你的防火墻,否則就很難入侵你的內部主機呢!
而且,由于主機放置在兩部防火墻中間,內部網絡如果發生狀況時 (例如某些使用者不良操作導致中毒啊、 被社交工程攻陷導致內部主機被綁架啊等等的) ,是不會影響到網絡服務器的正常運作的。 這種方式適用在比較大型的企業當中,因為對這些企業來說,網絡主機能否提供正常穩定的服務是很重要的!
不過,這種架構下所進行的設定就得包含 port 的轉遞,而且要有很強的網絡邏輯概念, 可以厘清封包雙向溝通時的流動方式。對于新手來說,設定上有一定的難度, 鳥哥個人不太建議新手這么做,還是等以后有經驗之后再來玩這種架構吧!
圖 9.1-4、架設在防火墻后端的網絡服務器環境示意圖
通常像上圖的環境中,將網絡服務器獨立放置在兩個防火墻中間的網絡,我們稱之為非軍事區域 (DMZ)。 DMZ 的目的就如同前面提到的,重點在保護服務器本身,所以將 Internet 與 LAN 都隔離開來,如此一來不論是服務器本身,或者是 LAN 被攻陷時,另一個區塊還是完好無缺的!
- - \*
### 9.1.5 防火墻的使用限制
從前面的分析中,我們已經知道過封包濾式防火墻主要在分析 OSI 七層協議當中的 2, 3, 4 層,既然如此的話, Linux 的 Netfilter 機制到底可以做些什么事情呢?其實可以進行的分析工作主要有:
- 拒絕讓 Internet 的封包進入主機的某些端口
這個應該不難了解吧!例如你的 port 21 這個 FTP 相關的埠口,若只想要開放給內部網絡的話,那么當 Internet 來的封包想要進入你的 port 21 時,就可以將該數據封包丟掉!因為我們可以分析的到該封包表頭的端口號碼呀!
- 拒絕讓某些來源 IP 的封包進入
例如你已經發現某個 IP 主要都是來自攻擊行為的主機,那么只要來自該 IP 的資料封包,就將他丟棄!這樣也可以達到基礎的安全呦!
- 拒絕讓帶有某些特殊旗標 (flag) 的封包進入
最常拒絕的就是帶有 SYN 的主動聯機的旗標了!只要一經發現,嘿嘿!你就可以將該封包丟棄呀!
- 分析硬件地址 (MAC) 來決定聯機與否
如果你的局域網絡里面有比較搗蛋的但是又具有比較高強的網絡功力的高手時,如果你使用 IP 來抵擋他使用網絡的權限,而他卻懂得反正換一個 IP 就好了,都在同一個網域內嘛! 同樣還是在搞破壞~怎么辦?沒關系,我們可以死鎖他的網絡卡硬件地址啊!因為 MAC 是焊在網絡卡上面的,所以你只要分析到該使用者所使用的 MAC 之后,可以利用防火墻將該 MAC 鎖住,呵呵!除非他能夠一換再換他的網絡卡來取得新的 MAC,否則換 IP 是沒有用的啦!
雖然 Netfilter 防火墻已經可以做到這么多的事情,不過,還是有很多事情沒有辦法透過 Netfilter 來完成喔! 什么?設定防火墻之后還不安全啊!那當然啦!誰說設定了防火墻之后你的系統就一定安全? 防火墻雖然可以防止不受歡迎的封包進入我們的網絡當中,不過,某些情況下,他并不能保證我們的網絡一定就很安全。 舉幾個例子來談一談:
- 防火墻并不能很有效的抵擋病毒或木馬程序
假設你已經開放了 WWW 的服務,那么你的 WWW 主機上面,防火墻一定得要將 WWW 服務的 port 開放給 Client 端登入才行吧!否則你的 WWW 主機設定了等于沒有用對吧!也就是說,只要進入你的主機的封包是要求 WWW 數據的,就可以通過你的防火墻。那好了,『萬一你的 WWW 服務器軟件有漏洞,或者本身向你要求 WWW 服務的該封包就是病毒在偵測你的系統』時,你的防火墻可是一點辦法也沒有啊! 因為本來設定的規則就是會讓他通過啊。
- 防火墻對于來自內部 LAN 的攻擊較無承受力
一般來說,我們對于 LAN 里面的主機都沒有什么防火墻的設定,因為是我們自己的 LAN 啊,所以當然就設定為信任網域了!不過, LAN 里面總是可能有些網絡小白啊,雖然他們不是故意要搞破壞, 但是他們就是不懂嘛!所以就亂用網絡了。這個時候就很糟糕,因為防火墻對于內部的規則設定通常比較少, 所以就容易造成內部員工對于網絡誤用或濫用的情況。
所以啦,還是回到第七章的[圖 7.1-1](http://linux.vbird.org/linux_server/0210network-secure.php#fig7.1-1) 的說明去看看,分析一下該圖示,你就會知道,在你的 Linux 主機實地上網之前,還是得先:
- 關閉幾個不安全的服務;
- 升級幾個可能有問題的套件;
- 架設好最起碼的安全防護--防火墻--
其他相關的訊息還是請到[第七章認識網絡安全](http://linux.vbird.org/linux_server/0210network-secure.php)里面去看一看怎么增加自身的安全吧!
- - - - - -
- 鳥哥的Linux私房菜:服務器架設篇 第三版
- 第一部份:架站前的進修專區
- 作者序
- 第一章、架設服務器前的準備工作
- 1.1 前言: Linux 有啥功能
- 1.2 基本架設服務器流程
- 1.3 自我評估是否已經具有架站的能力
- 1.4 本章習題
- 第二章、基礎網絡概念
- 2.1 網絡是個什么玩意兒
- 2.2 TCP/IP 的鏈結層相關協議
- 2.3 TCP/IP 的網絡層相關封包與數據
- 2.4 TCP/IP 的傳輸層相關封包與數據
- 2.5 連上 Internet 前的準備事項
- 2.6 重點回顧:
- 2.7 本章習題
- 2.8 參考數據與延伸閱讀
- 第三章、局域網絡架構簡介
- 3.1 局域網絡的聯機
- 3.2 本書使用的內部聯機網絡參數與通訊協議
- 第四章、連上 Internet
- 4.1 Linux 連上 Internet 前的注意事項
- 4.2 連上 Internet 的設定方法
- 4.3 無線網絡--以筆記本電腦為例
- 4.4 常見問題說明
- 4.5 重點回顧
- 4.6 本章習題
- 4.7 參考數據與延伸閱讀
- 第五章、 Linux 常用網絡指令
- 5.1 網絡參數設定使用的指令
- 5.2 網絡偵錯與觀察指令
- 5.3 遠程聯機指令與實時通訊軟件
- 5.4 文字接口網頁瀏覽
- 5.5 封包擷取功能
- 5.6 重點回顧
- 5.7 本章習題
- 5.8 參考數據與延伸閱讀
- 第六章、 Linux 網絡偵錯
- 6.1 無法聯機原因分析
- 6.2 處理流程
- 6.3 本章習題
- 6.4 參考數據與延伸閱讀
- 第二部分:主機的簡易資安防護措施
- 第七章、網絡安全與主機基本防護:限制端口, 網絡升級與 SELinux
- 7.1 網絡封包聯機進入主機的流程
- 7.2 網絡自動升級軟件
- 7.3 限制聯機埠口 (port)
- 7.4 SELinux 管理原則
- 7.5 被攻擊后的主機修復工作
- 7.6 重點回顧
- 7.7 課后練習
- 7.8 參考數據與延伸閱讀
- 第八章、路由觀念與路由器設定
- 8.1 路由
- 8.2 路由器架設
- 8.3 動態路由器架設:quagga (zebra + ripd)
- 8.4 特殊狀況:路由器兩邊界面是同一個 IP 網段: ARP Proxy
- 8.5 重點回顧
- 8.6 本章習題
- 8.7 參考數據與延伸閱讀
- 第九章、防火墻與 NAT 服務器
- 9.1 認識防火墻
- 9.2 TCP Wrappers
- 9.3 Linux 的封包過濾軟件:iptables
- 9.4 單機防火墻的一個實例
- 9.5 NAT 服務器的設定
- 9.6 重點回顧
- 9.7 本章習題
- 9.8 參考數據與延伸閱讀
- 第十章、申請合法的主機名
- 10.1 為何需要主機名
- 10.2 注冊一個合法的主機名
- 10.3 重點回顧
- 10.4 本章習題
- 10.5 參考數據與延伸閱讀
- 第三部分:局域網絡內常見的服務器架設
- 第十一章、遠程聯機服務器SSH / XDMCP / VNC / RDP
- 11.1 遠程聯機服務器
- 11.2 文字接口聯機服務器: SSH 服務器
- 11.3 最原始圖形接口: Xdmcp 服務的啟用
- 11.4 華麗的圖形接口: VNC 服務器
- 11.5 仿真的遠程桌面系統: XRDP 服務器
- 11.6 SSH 服務器的進階應用
- 11.7 重點回顧
- 11.8 本章習題
- 11.9 參考數據與延伸閱讀
- 第十二章、網絡參數控管者: DHCP 服務器
- 12.1 DHCP 運作的原理
- 12.2 DHCP 服務器端的設定
- 12.3 DHCP 客戶端的設定
- 12.4 DHCP 服務器端進階觀察與使用
- 12.5 重點回顧
- 12.6 本章習題
- 12.7 參考數據與延伸閱讀
- 第十三章、文件服務器之一:NFS 服務器
- 13.1 NFS 的由來與其功能
- 13.2 NFS Server 端的設定
- 13.3 NFS 客戶端的設定
- 13.4 案例演練
- 13.5 重點回顧
- 13.6 本章習題
- 13.7 參考數據與延伸閱讀
- 第十四章、賬號控管: NIS 服務器
- 14.1 NIS 的由來與功能
- 14.2 NIS Server 端的設定
- 14.3 NIS Client 端的設定
- 14.4 NIS 搭配 NFS 的設定在叢集計算機上的應用
- 14.5 重點回顧
- 14.6 本章習題
- 14.7 參考數據與延伸閱讀
- 第十五章、時間服務器: NTP 服務器
- 15.1 關于時區與網絡校時的通訊協議
- 15.2 NTP 服務器的安裝與設定
- 15.3 客戶端的時間更新方式
- 15.4 重點回顧
- 15.5 本章習題
- 15.6 參考數據與延伸閱讀
- 第十六章、文件服務器之二: SAMBA 服務器
- 16.1 什么是 SAMBA
- 16.2 SAMBA 服務器的基礎設定
- 16.3 Samba 客戶端軟件功能
- 16.4 以 PDC 服務器提供賬號管理
- 16.5 服務器簡單維護與管理
- 16.6 重點回顧
- 16.7 本章習題
- 16.8 參考數據與延伸閱讀
- 第十七章、區網控制者: Proxy 服務器
- 17.1 什么是代理服務器 (Proxy)
- 17.2 Proxy 服務器的基礎設定
- 17.3 客戶端的使用與測試
- 17.4 服務器的其他應用設定
- 17.5 重點回顧
- 17.6 本章習題
- 17.7 參考數據與延伸閱讀
- 第十八章、網絡驅動器裝置: iSCSI 服務器
- 18.1 網絡文件系統還是網絡驅動器
- 18.2 iSCSI target 的設定
- 18.3 iSCSI initiator 的設定
- 18.4 重點回顧
- 18.5 本章習題
- 18.6 參考數據與延伸閱讀
- 第四部分:常見因特網服務器架設
- 第十九章、主機名控制者: DNS 服務器
- 19.1 什么是 DNS
- 19.2 Client 端的設定
- 19.3 DNS 服務器的軟件、種類與 cache only DNS 服務器設定
- 19.4 DNS 服務器的詳細設定
- 19.5 協同工作的 DNS: Slave DNS 及子域授權設定
- 19.6 DNS 服務器的進階設定
- 19.7 重點回顧
- 19.8 本章習題
- 19.9 參考數據與延伸閱讀
- 第二十章、WWW 伺服器
- 20.1 WWW 的簡史、資源以及伺服器軟體
- 20.2 WWW (LAMP) 伺服器基本設定
- 20.3 Apache 伺服器的進階設定
- 20.4 登錄檔分析以及 PHP 強化模組
- 20.5 建立連線加密網站 (https) 及防砍站腳本
- 20.6 重點回顧
- 20.7 本章習題
- 20.8 參考資料與延伸閱讀
- 第二十一章、文件服務器之三: FTP 服務器
- 21.1 FTP 的數據鏈路原理
- 21.2 vsftpd 服務器基礎設定
- 21.3 客戶端的圖形接口 FTP 聯機軟件
- 21.4 讓 vsftpd 增加 SSL 的加密功能
- 21.5 重點回顧
- 21.6 本章習題
- 21.7 參考數據與延伸閱讀
- 第二十二章、郵件服務器: Postfix
- 22.1 郵件服務器的功能與運作原理
- 22.2 MTA 服務器: Postfix 基礎設定
- 22.3 MRA 服務器: dovecot 設定
- 22.4 MUA 軟件:客戶端的收發信軟件
- 22.5 郵件服務器的進階設定
- 22.6 重點回顧
- 22.7 本章習題
- 22.8 參考數據與延伸閱讀