Linux系统与应用课件项目十二

中国水利水电出版社项目十二网络安全【项目导入】某高校部署有Samba、Web、FTP、E-mail等服务器为校园网用户及Internet用户提供服务。为保证服务器及校园网的安全，需要选择既稳定又易于管理的Linux系统作为防火墙，为校园网安全保驾护航。中国水利水电出版社【知识目标】

了解网络安全常见的威胁理解SELinux的概念理解iptables的工作原理掌握iptables的基础结构掌握iptables的语法规则了解TCP-wrappers的工作原理中国水利水电出版社【能力目标】

掌握SELinux的设置方法掌握iptables的设置规则掌握iptables的应用中国水利水电出版社12.1计算机网络安全基础知识1.网络安全的定义网络安全从本质上讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。2.网络安全的特征（1）保密性（2）完整性（3）可用性（4）可控性中国水利水电出版社3.影响网络安全的主要因素（1）操作系统漏洞（2）应用软件漏洞（3）TCP/IP漏洞（4）电子邮件漏洞（5）系统密码漏洞（6）管理上的漏洞中国水利水电出版社

4.Linux网络安全防范策略（1）仔细设置每个内部用户的权限。（2）确保用户口令文件/etc/shadow的安全。（3）加强对系统运行的监控和记录。（4）合理划分子网和设置防火墙（5）定期对Linux网络进行安全检查（6）制定适当的数据备份计划确保系统万无一失。中国水利水电出版社12.2SELinux的使用方法SELinux是Security-EnhancedLinux的简称，是美国国家安全局NSA（TheNationalSecurityAgency）和SCC（SecureComputingCorporation）合作开发的基于Linux或UNIX的一个扩展的强制安全访问控制模块中国水利水电出版社1.DACDAC(DiscretionaryAccessControl，自主访问控制)是一种传统的UNIX/Linux访问控制方式，系统通过控制文件的读（r）、写（w）、执行（x）权限和文件归属者如文件所有者（owner）、文件所属（group）、其他人（other）等形式来控制文件属性，权限划分较粗糙，不易实现对文件权限的精确管理。

2.MACMAC（MandatoryAccessControl，强制存取控制），依据条件决定是否有存取权限。可以规范个别细致的项目进行存取控制，提供完整的彻底化规范限制。

中国水利水电出版社12.2.1SELinux的配置SELinux的配置文件存放在/etc/selinux文件夹下，主要有4个文件config、restorecond.conf、restorecond_user.conf、semanage.conf和一个目录targeted。其中比较重要的是config文件和targeted目录，config文件是SELinux的主配置文件，targeted目录是SELinux比较重要的安全上下文、模块及策略配置目录。

中国水利水电出版社config文件主要用于配置SELinux的工作模式。SELinux的工作模式有3种，分别是enforcing、permissive、disabled，其中enforcing为系统的默认工作模式。（1）enforcing：强制模式，此时系统处于SELinux的保护之下。（2）permissive：宽容模式，代表SELinux处于运作状态，不过仅会有警告信息并不会实际限制domain/type的存取，这种模式通常用来调试系统。（3）disabled：禁用SELinux，此时SELinux处于停止状态。中国水利水电出版社12.2.2SELinux管理命令（1）setenforce命令格式：setenforce[enforcing|permissive|1|0]功能：设置SELinux模式，修改后立即生效。例：将SELinux的模式设置为enforce模式。[root@localhost~]#setenforceenforcing或：

[root@localhost~]#setenforce1（2）getenforce命令格式：getenforce功能：查看当前SELinux运行模式。（3）sestatus命令格式：sestatus功能：查看SELinux的运行状态。中国水利水电出版社12.3Linux防火墙防火墙指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。中国水利水电出版社1.Iptables的工作原理Iptables分为两部分，一部分称为核心空间，另一部分称为用户空间。在核心空间，Iptables从底层实现了数据包过滤的各种功能，例如NAT、状态检测以及高级的数据包策略匹配等；在用户空间，Iptables为用户提供了控制核心空间工作状态的命令集。

中国水利水电出版社2.基础结构Linux内核利用Iptables工具来过滤数据包，用来决定接收哪些数据包、允许哪些数据包同时阻止其他数据包。Iptables中有3种类型的表，分别是filter、nat和mangle，每个表里包含若干个链，每条链里包含若干条规则。

中国水利水电出版社（1）filter表用来过滤和处理数据包。该表内置了3条连。INPUT：应用于目标地址是本机的那些数据包。OUTPUT：从本机发送出去的封包的处理，通常放行所有封包。FORWARD：源IP地址和目的IP地址都不是本机的，要穿过防火墙的封包，进行转发处理。中国水利水电出版社（2）Nat表用于地址转换。可以做目的地址转换DNAT和源地址转换SNAT，可做一对一、一对多、多对一转换。该表有PREROUTING、POSTROUTING和OUTPUT这3条规则链。PREROUTING：进行目的IP地址的转换，对应DNAT操作。OUTPUT：对应本地产生的数据包。POSTROUTING：进行源IP地址转换，对应SNAT操作。中国水利水电出版社（3）Mangle用于对数据包的一些传输特性进行修改。INPUT：修改传输到本机的数据包。OUTPUT：对于本机产生的数据包，在传出之前进行修改。FORWARD：修改经本机传输的网络数据包。PREROUTING：在路由选择之前修改网络数据包。POSTROUTING：在路由选择之后修改数据包。中国水利水电出版社3.iptables的语法iptables的语法为：iptables[-ttable]command[rule-matcher][-jtarget]其中：（1）[table]：指定表名。有3种表，分别为mangle、filter和nat。一般不用指定表名，默认是filter表。如果使用其他表，例如mangle表或nat表，则一定要注明。（2）[rule-match]：为规则匹配器。（3）[target]：为目标动作。（4）command：为操作命令。中国水利水电出版社4.iptables中的常用命令（1）命令-A或--append：用于在指定链的末尾添加一条新规则。（2）命令-D或--delete：用于删除规则。（3）命令-R或--replace：用于替换相应位置的策略。（4）命令-I或--insert：用于在指定位置插入策略。（5）命令-L或--list：用于显示当前系统中正在运行的策略。中国水利水电出版社任务12-1：保护服务器子网的防火墙规则1.任务描述图为网络防火墙的拓扑图，Linux主机安装了3张网卡。其中，eth0的IP地址是，它通过一台网关设备与Internet连接；eth1的IP地址是，它与子网/24连接；eth2的IP地址是，它连接的子网是/24。中国水利水电出版社现假设/24子网里运行的是为外界提供网络服务的服务器，而/24子网里的计算机是用户上网用的客户机。（1）服务器采用默认端口为外界提供了SSH、SMTP、DNS和HTTP服务，其它服务是拒绝外界访问的。（2）发现外界一台IP地址为4的计算机对服务器子网有攻击行为，防火墙要阻挡这些数据。（3）发现服务器子网发往IP地址为8主机的数据流量特别大，出现了异常，防火墙要限制其流量。（4）允许来自网卡eth2的数据包转发到服务器子，但数据包的目的端口为1-1024、2049或32768，允许源地址为和的数据包通过。（5）拒绝其他不匹配的数据包。中国水利水电出版社2.操作步骤（1）安装iptables。[root@localhost~]#rpm–ivh/mnt/Packages/iptables-1.4.7-9.el6.i686.rpm（2）设置从Internet访问服务器子网的规则。[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-ptcp-mmultiport--dport22，25，80-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-pudp--dport53-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth0-oeth1-jDROP//丢弃其它数据包中国水利水电出版社（3）设置从eth2网卡所连接的内网用户到服务器子网的规则。[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-ptcp-mmultiport--dport1：1024，2049，32768-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-s-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-s-jACCEPT[root@localhost~]#iptables-AFORWARD-ieth2-oeth1-jDROP中国水利水电出版社（4）开启主机数据包转发功能。[root@localhost~]#vi/etc/sysctl.confnet.ipv4.ip_forward=1[root@localhost~]#sysctl–p（5）保存iptables规则。[root@localhost~]#serviceiptablessave中国水利水电出版社12.4TCP_wrappers的使用方法数据封包进入主机之前通过的第一道程序就是iptables，第二道程序就是TCP_Wrappers。TCP_Wrappers类似TCP包的检验程序，也可以将他视为传输层的防火墙。中国水利水电出版社与TCP_wrappers有关的文件有两个，分别为/etc/hosts.allow和/etc/hosts.deny。一般情况下/etc/hosts.allow文件中设置的服务是允许被访问的，而/etc/hosts.deny文件中设置的服务是拒绝访问的。当有请求从远程到达本机时首先检查/etc/hosts.allow文件。（1）如果有匹配记录，跳过/etc/hosts.deny文件，此时默认的访问规则以/etc/hosts.allow文件中设置的为准。（2）如果没有匹配的记录，就去匹配