Linux网络服务

1、Linux网络服务信息科学技术学院信息科学技术学院刘建晖刘建晖 2010.9第一讲第一讲 课程简介课程简介 学习内容、目标和基本要求：学习内容、目标和基本要求： 上学期学的是上学期学的是Linux在单机上的应用，这个学期学在单机上的应用，这个学期学习习Linux 在网络上的应用。在网络上的应用。 计算机的应用，逐渐从单机走向网络。现在，我们计算机的应用，逐渐从单机走向网络。现在，我们一天也离不开网络了。一天也离不开网络了。问题问题1 1：什么是网络？听说过那个著名的口号吗？：什么是网络？听说过那个著名的口号吗？“网络就是计算机网络就是计算机”。了解一下，网络的优势。了解一下，网络的优势在哪里，

2、以后的发展趋势又会怎样？在哪里，以后的发展趋势又会怎样？ 网络上的信息资源和信息服务都靠网站的服务器来网络上的信息资源和信息服务都靠网站的服务器来提供，所以我们的学习目标是提供，所以我们的学习目标是Linux 网络服务器的网络服务器的设置、测试和使用。设置、测试和使用。 要求能够熟练掌握要求能够熟练掌握23种服务器的架设，并理解其种服务器的架设，并理解其它服务器的原理和配置，这是本课程的基本要求。它服务器的原理和配置，这是本课程的基本要求。问题问题2：平常说的：平常说的“服务器服务器”，指的是硬件还是软，指的是硬件还是软件？件？ 课程安排：课程安排： 理论学习：第理论学习：第2-17周，周，7

3、教新教新T10教室教室 上机实践：第上机实践：第3-17周，六教周，六教412机房机房 机房所用系统：机房所用系统：CentOS、Fedora root用户的密码分别是用户的密码分别是centos、fedora student用户的密码是用户的密码是student 课程成绩：课程成绩： 参加网络考试，并有课程实践考查参加网络考试，并有课程实践考查 本课程欢迎课堂发问，鼓励交流讨论，并倡导师生、同学本课程欢迎课堂发问，鼓励交流讨论，并倡导师生、同学之间的合作研究。之间的合作研究。 最后讲一下学习的一些方法：最后讲一下学习的一些方法： 学而不思则罔，思而不学则殆：思考是最好的学习，动手是最好的学而

4、不思则罔，思而不学则殆：思考是最好的学习，动手是最好的实践。遇到困难不要急于问别人，首先尝试自己去寻找答案解决。实践。遇到困难不要急于问别人，首先尝试自己去寻找答案解决。在互联网时代，没有什么是在网上搜索不到的。在互联网时代，没有什么是在网上搜索不到的。 虚心向周围的人讨教虚心向周围的人讨教 ：如果实在找不到答案，或者不确定答案是否：如果实在找不到答案，或者不确定答案是否正确，那么一定要向周围的人请教。请教之前要有所准备，这样别正确，那么一定要向周围的人请教。请教之前要有所准备，这样别人会很愿意解答你的问题，不能啥准备都没有就去问。人会很愿意解答你的问题，不能啥准备都没有就去问。 不要重复制造

5、轮子，但一定要知道制造轮子的原理：一门技术既要不要重复制造轮子，但一定要知道制造轮子的原理：一门技术既要知道怎么使用，而且要知道为什么是这样的。研究一下这个轮子用知道怎么使用，而且要知道为什么是这样的。研究一下这个轮子用到了哪些技术，理解里面的原理，学习里面的思路，琢磨改进其不到了哪些技术，理解里面的原理，学习里面的思路，琢磨改进其不足的地方。足的地方。 第二讲第二讲 域名系统的配置域名系统的配置 域名系统的主要功能就是实现域名和域名系统的主要功能就是实现域名和IPIP地址之间地址之间的转换。的转换。 域名系统采用域名系统采用“客户机客户机/ /服务器服务器”模式工作。模式工作。问题问题1 1

6、：理解域名和：理解域名和IPIP地址的概念，理解客户机地址的概念，理解客户机/ /服务器系统的工作模式。服务器系统的工作模式。 BINDBIND是一个域名服务器软件，我们使用它来配是一个域名服务器软件，我们使用它来配置域名服务器。置域名服务器。 了解四种不同类型域名服务器的作用，并理解了解四种不同类型域名服务器的作用，并理解域名解析过程。域名解析过程。问题问题2 2：怎么下载和安装：怎么下载和安装BINDBIND软件？掌握软件？掌握rpmrpm和和yumyum两个命令的使用。两个命令的使用。 掌握域名系统客户端的配置，要求记住几个配置掌握域名系统客户端的配置，要求记住几个配置文件。文件。 了解

7、了解BIND服务器的配置原理，能使用图形化的服务器的配置原理，能使用图形化的工具来配置基本的域名服务。工具来配置基本的域名服务。 熟练使用熟练使用nslookup程序来测试配置结果。程序来测试配置结果。第三讲第三讲 FTP服务器的配置服务器的配置 FTP服务器可以提供软件、文档等资源的存储、共享和传输服务。 FTP服务也采用客户机/服务器模式工作，但它的与众不同之处是它采用双端口的工作方式，其命令和数据分别在两对端口之间传送，即用一个连接专门传送命令，用一个连接专门传送数据。20/P21NN+1数据数据端口端口控制控制端口端口控制控制端口端口数据数据端口端口服务器服务器客户机客户机（P，N 1

8、024）FTP的连接模式的连接模式作业作业1：请阐明端口的概念。：请阐明端口的概念。 向大家介绍一个FTP服务器软件VSFTP，它的主页上是这么介绍它的：“也许是类UNIX系统上最安全和最快速的FTP服务器。” VSFTP的安装作业2：请小结Linux系统上软件安装的方式。 VSFTP的配置作业3：FTP的匿名用户是怎么回事？作业4：什么是ASCII和二进制传输方式？作业5：归纳DNS和FTP服务器配置的共同之处。 FTP服务器的运行 独立运行方式 代理运行方式作业6：请阐明Linux服务的这两种运行方式有何不同。 FTP的客户端程序： ftp命令行工具 gFTP或浏览器等图形界面工具作业7：

9、掌握ftp命令的基本操作，安装并了解图形界面的FTP工具的使用。 在默认情况下，匿名服务器的下载目录是/var/ftp/pub，上传目录由管理员创建，一般也建立在/var/ftp目录下。 可以使用anonymous或ftp作为匿名用户登录，输入Email地址作为口令。 客户端连接服务器时，输入主机的域名或IP地址即可，例如：ftp 第四讲第四讲 Apache服务器的配置服务器的配置 Web服务 因特网（Internet）上的一种信息检索手段,它使用一个浏览器来访问不同类型的服务器上的各种数据，采用客户机/服务器的方式运行。 Web的核心包括4个部分：HTML、HTTP、Web

10、服务器和Web浏览器。 超文本标识语言（HTML，Hyper Text Markup Language）是用来描述网页的一种语言，它指明服务器提供给客户端的数据内容。 超文件传输协议（HTTP，Hyper Text Transfer Protocol）是Internet上应用最为广泛的一种网络传输协议，所有的Web服务都必须遵守这个标准。设计 HTTP的目的是为了提供一种发布和接收HTML页面的方法，一个用于在客户端和服务器间请求和应答的协议。 为了让HTTP这个协议得以顺利应用，在90年代初期，由美国伊利诺大学的国家超级计算机应用中心开发出Web服务器软件HTTPd，后来发展成今天最流行的服

11、务器Apache。 网页浏览器主要通过HTTP协议与服务器交互并获取网页。常见的浏览器有微软的Internet Explorer、Mozilla的Firefox、Apple的Safari、Google开发的Chrome和挪威一家公司的Opera。作业1：什么是协议，什么是URL？作业2：什么叫magic文件和MIME类型？作业3：掌握grep和service命令的使用。 配置Apache： 配置文件：/etc/httpd/httpd.conf 配置文件的内容和格式： 整个配置分成3个部分： 全局环境、默认服务器、虚拟主机 以#号开头的是注释： 配置指令的格式是： 配置项目配置项目 配置值配置值

12、 配置项目还可以采用标记块方式设置，格式为： 配置项目配置项目 配置值配置值 掌握几个重要的配置选项： Listen ServerName DocumentRoot 启动和停止Apache：service httpd stop（start、restart） 虚拟主机（Virtual Host）的配置： 什么是虚拟主机？ 就是在一台主机上运行多个网站，或者把多个主机名称指向同一个IP地址。 实现原理： 通过设置，指定不同的主机名称对应到不同的主网页目录（DocumentRoot项）。 配置的项目： NameVirtualHost配置指令 每个主机的配置块 图形化配置Apache服务器： 作为上机

13、实验练习，注意了解每个配置项目的含义。 建议步骤： 第一步：启动Apache，在浏览器里看到默认的测试页。 第二步：简单设计一个自己的主页，替换默认的测试页。 第三步：配置虚拟主机，至少测试两个不同的主页。 第四步：在两台不同的主机上测试以上三个步骤。 服务器配置小结： 服务器的运行都受一个或多个配置文件控制，这些配置文件都是纯文本文件。 配置文件里的配置项目参数可以编辑、修改，保存后重启服务器即可生效。 配置文件可以直接编辑，也可以通过图形界面的配置程序来修改。两种方法等效，但可配置的项目数目不同。 配置文件的语法格式各不相同，但大致类似于程序设计。第五讲第五讲 电子邮件系统电子邮件系统 电

14、子邮件（Email）是Internet上使用最广泛的一种服务，为用户提供类似传统邮件的收发服务。邮件内容除文本以外，还可以包含声音、图像、程序等各类文件，这些附加的文件一般通过附件来传送。 电子邮件系统的运作方式是异步传输，即人们发送或接收邮件时，无须与对方保持实时地同步连接。 电子邮件系统可以分为三部分 邮件用户代理（MUA，Mail User Agent）是用来读写信件的程序。 邮件传输代理（MTA，Mail Transport Agent）是负责信件收发和传输的程序。 邮件投递代理（MDA，Mail Delivery Agent）是将接收到的信件放置到本机账户下的收件箱中的程序。 MUA

15、通常看作是电子邮件系统的客户端，例如Linux下的 Evolution、Thunderbird，Windows下的Outlook、Foxmail等；MTA和MDA一般作为邮件服务器，例如Linux下的Sendmail和Windows下的Exchange等。 电子邮件服务基于客户机/服务器模式，其工作过程如下：1.发送方编辑完毕的电子邮件发送给当地的邮件服务器，服务器收到客户送来的邮件，根据收件人的邮件地址发送到对方的邮件服务器中。2.对方的邮件服务器接收到其他邮件服务器发来的邮件，并根据邮件地址分发到相应的电子邮箱中，这样接受方可通过电子邮箱来读取邮件，并对他们进行相关的处理。 有关电子邮件的

16、协议： 简单邮件传输协议（SMTP）： 主要定义电子邮件的发送和传输的标准。 邮局协议第3版（POP3）： 主要定义电子邮件的接收标准，采取将邮件下载到本地，在离线状态下阅读。 网际消息访问协议（IMAP）： 主要定义电子邮件的接收、处理等标准，可以选择将邮件保存在IMAP服务器上，在线阅读。作业： 更好地理解这几种不同的协议。 电子邮件传输服务器Sendmail 在Linux系统下，可以充当电子邮件传输服务器的软件很多，有Sendmail、Postfix、qmail等。在此介绍使用Sendmail建立SMTP服务器。 Sendmail的获取、安装和启动 Sendmail的配置文件： 主配置文

17、件：/etc/sendmail.cf 宏配置文件：/etc/mail/sendmail.mc 其他配置文件：在/etc/mail目录中 配置方法： 在进行对sendmail邮件服务器配置时，我们一般不直接去配置sendmail.cf 这个文件，sendmail服务器提供了一个宏处理器程序m4，用户可以通过编辑一个相对简单的宏配置文件，然后再通过m4处理器将其转换为sendmail.cf主配置文件。 由宏配置文件生成配置文件：m4 /etc/mail/sendmail.mc /etc/sendmail.cf作业： 了解宏和输入输出重定向的概念。 Sendmail的其它配置： 别名的配置： 在/e

18、tc/aliases文件中设置。 中继的配置： 在/etc/mail/relay-domains和/etc/mail/access这两个文件中进行设置，再使用makemap命令把设置好的文件导入到数据库中。makemap hash /etc/mail/aceess.db etc/mail/access 用户认证的配置： 在宏配置文件中开启认证功能。 虚拟域的配置： 使一台Sendmail服务器代替其它域中的主机接收和投递邮件。 Postfix服务器简介 Postfix是一个免费的邮件传输服务器，可以替代Sendmail。 Postfix的基本配置： 配置文件都在/etc/postfix目录下，

19、两个最重要的文件是main.cf 和 master.cf，前者是主配置文件，后者是其守护进程的配置文件。 对以上两个文件作了修改以后，用以下命令重新启动服务器： service postfix reload 在main.cf文件中还提供了一系列参数，用以设置Postfix的以下几个方面： 垃圾邮件控制：安全 性能限制：效率 资源限制：稳定 地址操作：灵活作业：1、了解IP地址的分类。2、了解HELO和EHLO命令。3、小结服务器的配置方法。 Open Webmail简介 Open Webmail是一套免费开源的、基于Web界面的邮件服务器软件，其用户界面架设在Apache上，而邮件处理依靠的是

20、Sendmail。 获取和安装 http：//openwebmail/download/ 阅读网站的readme文件，了解安装方法。 下载包的安装：rpm -Uvh openwebmail*.rpm 在线软件安装：yum install openwebmail 使用和操作1. 初始化2. 配置好Apache和Sendmail，3. 登录使用上机练习：1. 查看邮件服务器的配置文件，启动和停止相关邮件服务器。 2. 使用mail命令处理邮件3. SMTP会话4. Evolution、Thunderbird邮件客户端的使用SMTP会话会话rootcnc-mx # te

21、lnet localhost 25 - (1)Trying .Connected to localhost.localdomain ().Escape character is .220 cnc- ESMTP Postfix - by helo localhost - (2)250 cnc-mail from： - (3)250 2.1.0 Okrcpt to： - (4)250 2.1.5 OkData - (5)354 End data with .Subject：test - (6)from l

22、ocalhost - (7).250 2.0.0 Ok： queued as 70A1D156C4quit221 2.0.0 ByeConnection closed by foreign host.第六讲第六讲 路由器路由器 路由器是连接多个网络的设备，现在的互联网就是由各种路由器将许多不同类型的网络连接起来的。 本讲主要讲述两个主要内容： 有关路由器的基本概念 用Linux主机做静态路由 路由的概念： 路由就是指通过相互连接的网络，把信息从源地点传送到目标地点的过程。 在路由过程中，信息会经过一个或多个中间节点，实现路由功能的中间节点就是路由器。 路由动作包括两项基本内容：寻径和转发。寻径

23、指判定到达目的地的最佳路径，转发即沿寻径好的最佳路径传送信息分组。两者对应有路由选择协议和路由转发协议。路由的方式有两种：静态路由： 网络管理员在安装路由器时，根据网络的配置情况预先设定一个路由表，网络结构发生变化后由网络管理员手工修改路由表。动态路由： 路由器自动计算数据传输的最佳路径，由此得到动态路由表，并向其他路由器发出路由更新信息。 作业：1.理解数据包的路由过程。2.了解路由表、路由协议和路由算法。路由器（Router）简介：路由器工作在开放系统互连模型（OSI Model）的网络层上，它具有三个特征。它工作在OSI模型的第三层上，能够根据IP地址来转发数据包；它可以连接不同类型的网

24、络，能够进行帧格式的转换；它具有路径选择的能力，能够根据数据的目的地址选择最佳路径，转发数据。作业：1.理解路由器、集线器和交换机的区别。2.了解OSI模型和数据帧Frame的概念。路由器在OSI模型中的作用 路由器的分类： 硬路由器： 专门为实现路由功能设计的专用计算机，在上面装有专门的操作系统和路由软件。 软路由器： 在普通的操作系统上安装路由软件来实现路由功能的计算机。 本讲要向大家介绍的就是如何利用Linux系统实现路由功能，使用户能够用普通的PC 架设路由器。几种有线和无线路由器产品几种有线和无线路由器产品 划分子网 为了分担网络负载，通常把一个主机数量较多的局域网划分成多个子网。一

25、个简单的小网一个简单的小网将一个大网划分为四个子网网络示例1网络示例2 配置Linux路由器 打开路由器的IP信息包转发功能： 编辑/etc/sysctl.conf文件，将命令net.ipv4.ip_forward=0中的0改为1。 为每一个网络接口设置IP地址等数据： 编辑/etc/sysconfig/network-scripts/目录下的各接口文件ifcfg-ethx，x为0n。 重启网络接口，使设置生效： service network restart 设置静态路由表： 使用route命令设置和查看静态路由表。 设置默认路由（即缺省网关）： route add default gw 1

26、54 增加或删除一个到网段或单台主机的路由：route add net netmask dev eth0route del net netmask gw 54route add host 192.168.300.1 netmask dev eth3 配置客户端 使用相同的方法配置每台客户机的网络接口，注意不同子网的默认网关不同。 检测路由配置是否正确 检测能否连通本子网的网关。 检测能否连通其它子网的网关。 检

27、测能否连通其它子网的客户机。作业：熟练掌握ifconfig命令的使用。第七讲第七讲 DHCP服务器服务器 DHCP简介 动态主机配置协议（Dynamic Host Configuration Protocol）是一个基于TCP/IP的协议，它可以为局域网里的主机分配动态IP地址，而不必去为每个用户设置静态IP地址。 DHCP是对BOOTP（Bootstrap Protocol ）的增强，它分为服务器端和客户端。 什么时候需要使用DHCP 在网络中设置DHCP服务器，对管理员和用户都会提供很大方便。 在以下情况，使用DHCP比较合适：1.网络中的主机数量比较多2.网络中用户的移动性比较大3.网络

28、中的IP地址资源有限 DHCP的工作原理 客户端向网络广播DHCP需求数据包，服务器响应要求。客户端取得IP参数的程序如下：1.客户端寻找服务器： 客户端向网络广播一个DHCP Discover数据包。2.服务器提供租用地址： 服务器监听到广播后，响应给客户端一个DHCP Offer数据包。3.接受IP租约： 客户端接受一个DHCP Offer，向网络发送一个DHCP Request广播数据包，告之它接受哪一台服务器提供的数据。4.租约确认： 当服务器接收到客户端的DHCP Request之后，会向客户端发送一个DHCP ACK响应，以确认租约的正式生效。 DHCP服务器给予客户端的IP类型有

29、两种： 固定（Static）IP： 根据MAC地址来给予固定的IP 动态（Dynamic）IP： 从尚未使用的IP中随机选取 客户端离线或者租约到期，服务器端会将IP数据收回，客户端也可以在租约到期前重新申请IP数据并更新租约时间，从而继续使用。 安装、启动和停止DHCP服务器 配置DHCP服务器 配置文件： /etc/dhcpd.conf文件类似C语言的源程序风格，注释以# 开头，每行以分号结尾，单行的语句是参数设置，大括号的部分称为声明。 示例文件： /usr/share/doc/dhcp-版本号/dhcpd.conf.sample可以将此文件复制为配置文件来进行修改。 客户租约数据库文件

30、： /var/lib/dhcp/dhcpd.leases，可以查看这个记录文件，无需手工配置。 启用DHCP中继代理： DHCP服务器软件包中带有一个中继代理程序dhcrelay ，运行它使用如下命令：service dhcrelay start dhcrelay的配置文件： /etc/sysconfig/dhcrelay 客户端的配置： 客户端主机的网络接口配置为使用DHCP自动获取IP地址即可。第八讲第八讲 防火墙防火墙 防火墙（Firewall）简介 网络安全问题，是目前网络技术的热点课题，防火墙发挥着重要作用。 防火墙是一种计算机网络的安全防护系统，它可能是一个专门的硬件设备，或是一套

31、软件，甚至是安装有相关软件的多台设备构成的一个防护子网。 防火墙通常架设在外网和内网之间，对在两个网络之间交换的数据进行一定规则的监视和控制，从而构建一个更加安全的网络使用环境。防火墙示意图 防火墙的功能：保障网络安全 实施安全策略 过滤传输数据 进行日志记录 网络地址转换 保护内部网络作业：1.了解网络地址转换（NAT，Network Address Translation）。2.安装并试用一种个人防火墙产品。 防火墙的分类和基本原理主要了解各种类型防火墙的工作原理和优缺点。 包过滤防火墙（Packet Filtering Firewall）： 对通过防火墙的每一个数据包，根据事先制定好的规

32、则，对它的源地址、目的地址以及相应的端口来进行判断，把不合规则的数据包都过滤掉，只让符合规则的数据包通过。作业：3.了解UDP和RPC。 代理防火墙（Proxy Firewall）： 它的核心技术是代理服务器（Proxy Server）技术。 当代理服务器得到一个客户的连接意图时，它将核实客户请求，并经过特定的安全化代理应用程序安全化代理应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理，最后将答复交给发出请求的客户。 状态监测防火墙（Stateful Inspecton Firewall）： 它是对包过滤防火墙的改进。 它建立状态连接表，并将进出网络

33、的数据当成一个个的会话，利用状态表状态表跟踪每一个会话状态。当接收到新的数据包时，防火墙首先根据规则表规则表来判断是否允许这个数据包通过，如果不符合规则就立即丢弃，如果符合规则，再将当前的数据包和状态信息，与前一时刻的数据包和状态信息进行比较，然后根据比较结果决定是否能够通过。作业：4.了解WAIS和Archie。 使用防火墙需要注意： 防火墙对于病毒、木马程序并不有效； 防火墙对于来自内部的网络误用或滥用的抵挡性可能不足； 并不是设置防火墙之后，系统就一定很安全，还需要更新软件漏洞。 Linux的防火墙 Linux内核提供包过滤防火墙功能，设置防火墙主要使用iptables命令。 iptab

34、les管理多个表，表是包含处理特定类型数据包的策略与规则的集合。Linux默认包含三个表，包括管理本机的filter表，管理内部主机的nat表，管理特殊数据包的路由标记的mangle表。 每个表中包含的过滤策略和规则被分为若干类，称为规则链。例如，filter表默认包含有INPUT、OUTPUT、FORWARD三条链。iptables命令的语法一条iptables规则基本上应该包含5个要素：1. 表：是规则链的容器。2. 操作命令：包括查看、添加、删除链或者规则等操作。3. 链：是规则的容器，包括默认的链或用户自定义链。4. 规则匹配：指包的IP地址、端口、包类型等。5. 目标动作：是当规则匹

35、配一个包时要执行的任务，常用的如下： ACCEPT：允许包通过。 DROP：丢弃包。 REJECT：拒绝包，丢弃包的同时给发送者发送没有接受的通知。iptables命令的一般语法如下：iptables -t 表名表名 操作命令操作命令 链名链名 规则匹配规则匹配 -j 目标动作目标动作 保存iptables规则 可以把内存中的规则集转存到文件中，或者从文件中恢复规则集，默认的规则集文件是/etc/sysconfig/iptables 使用iptables-save命令将规则集保存到文件中：iptables-save /etc/sysconfig/iptables 使用iptables-rest

36、ore命令将规则集从文件恢复到表中：iptables-restore /etc/sysconfig/iptables 为了使得规则在每次系统启动时能被使用，可以将iptables-restore /etc/sysconfig/iptables这条命令放到任何一个系统初始化脚本中。 NAT技术 NAT（Network Address Translation）允许一个机构内部专用网中的主机连接到外部公共网中，无需内部主机拥有注册的Internet地址。 NAT是通过改写数据包的源IP地址、目的IP地址、源端口、目的端口来实现的。 Internet工程任务组（IETF）将某些IP地址留出来供专用网络

37、重复使用： /8 /12 /16 NAT分为两种不同的类型： 源NAT（Source NAT，SNAT）：修改数据包的源地址，即改变连接的来源地。SNAT会在包送出之前的最后一刻做好Post-Routing动作。 目的NAT（Destination NAT，DNAT）：修改数据包的目标地址，即改变连接的目的地。DNAT总是在包进入之后立刻进行Pre-Routing动作。 如果第一个包被允许做NAT，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表一个一个地被NAT，而是自动地完成。 PREROUTING链链（DN

38、AT）POSTROUTING链链（SNAT）OUTPUT链链路由选择路由选择本地处理进程本地处理进程入站包入站包出站包出站包数据包穿越数据包穿越nat表的流程图表的流程图客户机要与Internet上的服务器建立连接，需要经过NAT，过程如下：1.客户机将访问请求包发送到NAT路由器。2.请求包在NAT路由器上实施SNAT，将此包的源地址改为路由器的Internet接口地址。为了区分局域网中使用相同端口号的连接，大多数情况还会更改源端口号。3.经过SNAT的数据包被路由器发往Internet上的服务器，此服务器将回应包发来。4.路由器将收到的回应包的目标地址改为发起连接的客户机的IP地址，目标端

39、口改为客户机发起连接时所用的端口。5.NAT路由器将经过修改的回应包送还给客户机。 若在局域网中对外发布服务，Internet上的客户通过NAT路由器访问局域网内服务器的过程与上述过程类似，不过NAT路由器实施的是DNAT过程，即将包的目的地址重定向到内网主机。第九讲第九讲 Linux安全安全 本讲主要介绍Linux系统的基本安全知识，包括如下内容： 服务访问控制 文件加密技术 远程安全连接 安全扫描工具 系统安全设置 服务的守护进程xinetd： 使用一个守护进程来代替若干个服务的守护进程，代理监听各个服务端口，在需要的时候再启动相应的服务，好处是可以节省系统资源，并对各个服务进行访问控制。

40、 xinetd的配置文件为/etc/xinetd.conf，整个文件由若干段落组成，每一个段落设置一项服务，每一行设置服务的一项属性。 加密软件GnuPG PGP：是一种加密软件，用它可以对文件进行加密或数字签名，以保证文件没有被篡改。 GnuPG：是一个免费的、开发源码的PGP替代软件。 使用GnuPG对文件进行加密和解密 加密：gpg es 文件名 解密：gpg 文件名 在使用GnuPG之前要生成用户的公钥/私钥对：gpg - -gen-key 密钥（m yu）：密钥是一种参数，是在明文转换为密文或将密文转换为明文的算法中输入的数据。 密钥分为两种： 对称密钥：又称私钥加密，即信息的发送方

41、和接收方用一个密钥去加密和解密数据。它的最大优势是加密、解密速度快，适合于对大数据量进行加密，但密钥管理困难。 非对称密钥：又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，即公用密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥慢得多。 为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。 相反地，用户也能用自己私人密钥对数据加以处理。换句话说，密钥对的工作是可以任选方向的。这提供了数字签名的基础，如果要一个用户

42、用自己的私人密钥对数据进行了处理，别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥，这种被处理过的报文就形成了一种电子签名一种别人无法产生的文件。 数字证书中包含了公共密钥信息，从而确认了拥有密钥对的用户的身份。 简单的公共密钥例子可以用素数表示，将素数相乘的算法作为公钥，将所得的乘积分解成原来的素数的算法就是私钥，加密就是将想要传递的信息在编码时加入素数，编码之后传送给收信人，任何人收到此信息后，若没有此收信人所拥有的私钥，则解密的过程中（实为寻找素数的过程），将会因为找素数的过程（分解质因数）过久而无法解读信息。 安全远程登录软件OpenSSH OpenSSH使用加

43、密的网络连接，代替了telnet、ftp等明文发送口令的远程连接软件。 OpenSSH基于服务器/客户机工作模式，首先要启动服务sshd，sshd守护进程所使用的配置文件是/etc/ssh/sshd_config。 在客户端，使用ssh命令来登录远程主机：ssh 主机名或IP地址 客户端还可以使用scp和sftp命令在远程主机间安全地传输文件。 网络扫描工具Nmap Nmap是Linux下的网络扫描和探测工具软件，基本功能有三个： 探测一组主机是否在线 扫描主机端口，嗅探所提供的网络服务 推断主机所用的操作系统 Nmap可以在命令行下用nmap命令进行操作，也可以使用其图形前端Nmap Fro

44、nt End，在图形界面下进行扫描。 基本的安全措施 物理安全： 主机加锁 BIOS加密 设置OS引导器密码 使用屏幕保护程序 本地安全： 用户权限及口令管理 文件系统权限管理 网络安全： 关闭不必要的服务 监测端口扫描 防止网络监听第第十十讲讲 MySQL数据库管理系统数据库管理系统 基本概念 数据库（DataBase）：存储在磁盘、光盘等外存介质上，按一定结构组织在一起的相关数据的集合。 数据库系统（DataBase Systems）：由数据库及其管理软件、管理员组成的系统。 数据库管理系统（DataBase Management System）：它是一组能完成描述、管理、维护数据库的程序

45、系统，功能是插入、检索、修改或删除数据等。 关系型数据库管理系统（Relational DataBase Management System）： 数据库中的数据组织为表（table），一个数据库包括一个或多个表。 表是以行（row）和列（column）的形式组织起来的数据的集合，一个表由若干行和列组成。 表中每行为一个记录（record），每个记录可以包含几段信息，表的某一列对应这些信息中的一段，称为字段（field）。 MySQL简介 MySQL是一个关系型数据库管理系统，它采用客户机/服务器体系结构。 服务器是一个存储和管理数据的程序mysqld，它监听从网络上传过来的客户机的请求并根据这

46、些请求访问数据库的内容，以便向客户机提供它们所要求的信息。 客户机是连接到数据库服务器的程序，这些程序告诉服务器需要查询什么信息或者完成某些管理任务。 最常用的客户机程序为mysql，这是一个基于命令行的程序，用它能创建并维护数据库、表及其数据。 SQL简介： 结构化查询语言SQL（Structured Query Language）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。 SQL通过多种不同的语句来处理数据库。 数据定义：CREATE（创建）、DROP（删除）、ALTER（修改）语句 数据操作：INSERT（插入）、UPDATE（修改）、DELETE（删除）语句 数据查询：SELECT（检索）语句 数据控制：GRANT、REVOKE、COMMIT、ROLLBACK语句 MySQL的数据类型 数字类型： 整数类：TINYINT、SMALLINT、MEDIUMINT、INT、BIGINT 小数类：