Linux操作系统安全配置 课件 项目4　防火墙安全配置

单击此处编辑母版标题样式

认识Linux防火墙学习内容防火墙简介0102防火墙的功能03防火墙的类型04防火墙的优缺点学习内容05Linux防火墙技术06Linux防火墙的部署形式07总结防火墙简介1防火墙设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙简介1典型的防火墙体系网络结构防火墙的功能2（1）作为网络安全的屏障（2）可以强化网络安全策略（3）可以对网络存取和访问进行监控审计（4）可以防止内部信息的外泄防火墙的类型3传统意义上的防火墙技术分为三大类。（1）包过滤（PacketFiltering）防火墙（2）应用代理（ApplicationProxy）防火墙（3）状态检测（StatefulInspection）防火墙无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。防火墙的优缺点4（1）防火墙可以阻断攻击，但不能消灭攻击源。（2）防火墙不能抵抗最新的未设置策略的攻击漏洞。（3）防火墙的并发连接数限制容易导致拥塞或者溢出。（4）某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。（5）防火墙对待内部主动发起连接的攻击一般无法阻止。（6）防火墙本身也会出现问题和受到攻击。（7）防火墙不处理病毒。

Linux防火墙技术5Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称网络层防火墙）。

Linux防火墙的部署形式6单一主机型防火墙在单一主机型的控管方面，主要的防火墙有封包过滤型的Netfilter与依据服务软件程序作为分析的TCPWrappers两种。区域性型火墙若以区域型的防火墙而言，由于此类防火墙都是当作路由器角色，因此防火墙类型主要则有封包过滤的Netfilter与利用代理服务器(proxyserver)进行存取代理的方式了。总结7防火墙简介防火墙的功能防火墙的类型防火墙的优缺点Linux防火墙技术Linux防火墙的部署形式单击此处编辑母版标题样式

iptables命令行的语法学习内容企业需求0102iptables命令通用格式03iptables命令的详细手册04iptables命令的使用范例05总结

企业需求1对以上网络拓扑做如下假设：Server已经安装和运行了iptables服务Server和Client之间是可以连通的在Server上已经安装Web服务器程序提供Web服务网络防火墙服务器（Server）客户端（Client）

企业需求1需求分析：根据防火墙的规则要求写出对应的iptables命令。

iptables命令通用格式2iptables[-t表名]命令

[匹配][操作]-t--table表名，用于指定命令应用于哪个iptables内置表。命令选项用于指定iptables的执行方式，包括插入规则，删除规则和添加规则。匹配选项指定数据包与规则匹配所具有的特征，包括源地址，目的地址，传输协议和端口号。iptables执行规则时，是从规则表中从上至下顺序执行的，如果没遇到匹配的规则，就一条一条往下执行，如果遇到匹配的规则后，那么就执行本规则的操作(accept，reject，log，drop等)。

iptables命令的使用范例4操作2：查看iptables防火墙的配置信息[root@server~]#iptables--list[root@server~]#iptables--listINPUT[root@server~]#iptables--tablefilter--listINPUT

iptables命令的使用范例4操作3：清除iptables规则列表[root@server~]#iptables--listINPUT[root@server~]#iptables--flushINPUT[root@server~]#iptables--listINPUT

iptables命令的使用范例4操作4：允许从/24网络中的主机登录Server的SSH服务[root@server~]#iptables--listINPUT[root@server~]#iptables--tablefilter--insertINPUT--source/24--protocoltcp--dport22--jumpACCEPT[root@server~]#iptables--listINPUT

iptables命令的使用范例4操作5：设置指定链的默认规则为DROP[root@server~]#curl00[root@server~]#iptables--listINPUT[root@server~]#iptables--policyINPUTDROP[root@server~]#curl00

iptables命令的使用范例4操作6：设置允许/24网络中的主机访问Server提供的Web服务（80端口）。[root@server~]#iptables--tablefilter--appendINPUT--source/24--protocoltcp--dport80--jumpACCEPT[root@server~]#iptables--listINPUT总结5描述iptables命令的一般格式查看iptables防火墙规则的命令设置指定表与链的默认规则的命令添加一条iptables防火墙规则的命令保存防火墙规则的命令单击此处编辑母版标题样式

SELinux设置学习内容查看SELinux状态0102设置SELinux允许开放端口03临时关闭SELinux04永久关闭SELinux05总结查看SELinux状态1查看SELinux状态[root@localhost~]#sestatusSELinuxstatus:enabledSELinuxfsmount:/sys/fs/selinuxSELinuxrootdirectory:/etc/selinuxLoadedpolicyname:targetedCurrentmode:enforcingModefromconfigfile:enforcingPolicyMLSstatus:enabledPolicydeny_unknownstatus:allowedMaxkernelpolicyversion:28设置SELinux允许开放端口2（1）关闭Linux防火墙[root@localhost~]#systemctlstopfirewalld（2）查看SELinux允许的ssh端口[root@localhost~]#semanageport-l|grepssh（3）修改/etc/ssh/sshd_config文件[root@localhost~]#vim/etc/ssh/sshd_config[root@localhost~]#systemctlrestartsshd.service（4）添加1122端口到SELinux[root@localhost~]#semanageport-a-tssh_port_t-ptcp1122[root@localhost~]#systemctlrestartsshd.service（5）查看是否添加成功[root@localhost~]#semanageport-l|grepssh临时关闭SELinux3临时关闭SELinux[root@localhost~]#setenforce0永久关闭SELinux4永久关闭SELinux[root@localhost~]#vi/etc/selinux/configSELINUX=disabled[root@localhost~]#init6总结5如何查看SELinux状态设置SELinux允许开放端口临时关闭SELinux永久关闭SELinux单击此处编辑母版标题样式

使用NAT技术防护企业内部服务器学习内容应用场景0102NAT技术03防护企业内部服务器04总结应用场景1某公司需要Internet接入，由ISP分配IP地址。采用iptables作为NAT服务器接入网络，内部采用/24地址，外部采用/24地址。为确保安全需要配置防火墙功能，要求从外部网络地址http://能访问内部Web服务器，为实现负载均衡，内部2台Web服务器分别为01:8080和02:8080，两台Web服务器提供的服务相同。NAT服务器通过端口映射方式对外提供服务。应用场景1

NAT技术2NAT（NetworkAddressTranslation，网络地址转换）恰恰是出于某种特殊需要而对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写的操作。NAT位于使用专用地址的Intranet和使用公用地址的Internet之间，主要具有以下几种功能。（1）从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。（2）从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。（3）支持多重服务器和负载均衡。（4）实现透明代理

NAT技术2（1）NAT的分类①SNAT（SourceNAT，源地址转换）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。所谓SNAT就是改变转发数据包的源地址。②DNAT（DestinationNAT，目的地址转换）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。DNAT就是改变转发数据包的目的地址。

NAT技术2（2）NAT原理

NAT技术2（2）NAT原理用户使用iptables命令设置NAT规则，这些规则都存储在nat表中。设置的这些规则都具有目标动作，它们告诉内核对特定的数据包做什么操作。根据规则所处理的信息包类型，可以将规则分组存放在链中。①要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。②要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。③直接从本地出去的数据包的规则被添加到OUTPUT链中。

NAT技术2（3）NAT命令语法

iptables[-t表名]<-A链名>[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]①对规则的操作

-A：加入（append）一个新规则到一个链的最后；

-I：在链内某个位置插入（insert）一个新规则，通常是插在最前面；

-R：在链内某个位置替换（replace）一条规则；

-D：在链内某个位置删除（delete）一条规则。

NAT技术2（3）NAT命令语法

iptables[-t表名]<-A链名>[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]②指定源地址和目的地址通过--source/--src/-s来指定源地址，通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定IP地址:使用完整的域名，如“”；使用IP地址，如“”；用X.X.X.X/X.X.X.X指定一个网络地址，如“/”；用X.X.X.X/X指定一个网络地址，如“/24”这里的24表明了子网掩码的有效位数，缺省的子