项目3 配置与管理防火墙

项目3

配置与管理防火墙能力要求CAPACITY了解防火墙的分类及工作原理。0103掌握SNAT。02掌握DNAT。思政导入IDEOLOGY明确职业技术岗位所需的职业规范和精神，树立社会主义核心价值观！思政目标IDEOLOGY

“大学之道，在明明德，在亲民，在止于至善。”“‘高山仰止，景行行止。’虽不能至，然心乡往之”。了解计算机的主奠基人——华罗庚教授，知悉读大学的真正含义，以德化人，激发学生的科学精神和爱国情怀。思政内容IDEOLOGY在我国计算机发展的历史长河中，有一位做出突出贡献的科学家，他也是中国计算机的主奠基者，你知道他是谁吗？他就是华罗庚教授—我国计算技术的奠基人和主要的开拓者之一。华罗庚教授在数学上的造诣和成就深受世界科学家的赞赏。在美国任访问研究员时，华罗庚教授的心里就已经开始勾画我国电子计算机事业的蓝图了！项目知识准备项目设计与准备项目实施项目实录：配置与管理firewalld防火墙内容导航CONTENTS一、项目知识准备防火墙概述通常所说的网络防火墙是套用了古代防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

防火墙的分类方法多种多样，不过从传统意义上讲，防火墙大致可以分为三大类，分别是“包过滤”“应用代理”“状态检测”。一、项目知识准备iptables与firewalld通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

早期的Linux系统采用ipfwadm作为防火墙，但在2.2.0版本中其被ipchains取代。Linux2.4发布后，netfilter/iptables数据包过滤系统正式使用。它引入了很多重要的改进，比如基于状态的功能、基于任何传输控制协议（TransmissionControlProtocol，TCP）标记和MAC地址的包过滤功能、更灵活的配置和记录功能、强大且简单的NAT功能和透明代理功能等，然而，最重要的变化是引入了模块化的架构方式。这使得iptables的运用和功能扩展更加方便、灵活。一、项目知识准备iptables与firewalld通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

在KylinOS中，firewalld防火墙取代了iptables防火墙。实际上，iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具，或者说，它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则把配置好的防火墙策略交由内核层面的iptables包过滤框架来处理。换句话说，当前在Linux系统中其实存在多个防火墙管理工具，旨在方便运维人员管理Linux系统中的防火墙策略，我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣，但它们在防火墙策略的配置思路上是保持一致的。一、项目知识准备NAT基础知识通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

1. NAT的主要功能NAT主要具有以下功能。（1）从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。（2）从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。（3）支持多重服务器和负载均衡。（4）实现透明代理。

这样在内网中，计算机使用未注册的专用IP地址，而在与外网通信时，计算机使用注册的公用IP地址，大大降低了连接成本。同时NAT也起到将内网隐藏起来、保护内网的作用，因为对外部用户来说，只有使用公用IP地址的NAT是可见的，这类似于防火墙的安全措施。一、项目知识准备NAT基础知识通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

2.NAT的工作过程（1）客户端将数据包发送给运行NAT的计算机。（2）NAT将数据包中的端口号和专用IP地址转换成自己的端口号和公用IP地址，然后将数据包发送给外网的目的主机，同时在映像表中记录一个跟踪信息，以便向客户端发送回答信息。（3）外网发送回答信息给NAT。（4）NAT将收到的数据包中的端口号和公用IP地址转换为客户端的端口号和内网使用的专用IP地址并转发给客户端。一、项目知识准备NAT基础知识通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

3.NAT的分类（1）源NAT（SourceNAT，SNAT）是指改变第一个包的源IP地址。SNAT会在包被送出之前的“最后一刻”做好路由后（Post-Routing）的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。（2）目的NAT（DestinationNAT，DNAT）是指改变第一个包的目的IP地址。DNAT总是在包进入后立刻进行预路由（Pre-Routing）动作。端口转发、负载均衡和透明代理均属于DNAT。一、项目知识准备SELinux通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

安全增强型Linux（Security-EnhancedLinux，SELinux）是美国国家安全局（NationalSecurityAgency，NSA）对于强制访问控制的实现，是Linux历史上杰出的新安全子系统。NSA在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在它的任务中所需的文件。2.6及以上版本的Linux内核都集成了SELinux模块。学好SELinux是每个Linux系统管理员的必修课。一、项目知识准备SELinux通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

1.DACLinux上传统的访问控制标准是自主访问控制（DiscretionaryAccessControl，DAC）。在这种形式下，一个软件或守护进程以用户ID（UserID，UID）或设置用户ID（SetUserID，SUID）的身份运行，并且拥有该用户的目标（文件、套接字，以及其他进程）权限。这使得恶意代码很容易运行在特定权限之下，从而取得访问关键子系统的权限。而最致命的问题是，root用户不受任何管制，其可以无限制地访问系统上的任何资源。一、项目知识准备SELinux通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

2.MAC在使用了SELinux的操作系统中，决定一个资源是否能被访问的因素除了“某个资源是否拥有对应的用户权限（读、写、执行）”之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。这样即使进程是以root用户身份运行的，也需要判断这个进程的类型以及允许访问的资源类型，才能决定是否允许访问某个资源，进程的活动空间也可以被压缩到最小。即使是以root用户身份运行的服务进程，一般也只能访问到它需要的资源。即使程序出了漏洞，影响范围也只在其允许访问的资源范围内，安全性大大提高。这种权限管理机制的主体是进程，这种机制称为强制访问控制（MandatoryAccessControl，MAC）。SELinux实际上就是MAC理论最重要的实现之一，并且SELinux从架构上允许DAC和MAC两种机制都起作用。一、项目知识准备SELinux通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

3.SELinux工作机制与SELinux相关的概念如下。（1）主体（Subject）。（2）目标（Object）。（3）策略（Policy）。（4）模式（Mode）。当一个主体（如一个程序）尝试访问一个目标（如一个文件）时，内核中的SELinux安全服务器（SELinuxSecurityServer）将在策略数据库（PolicyDatabase）中运行一个检查。该检查基于当前的模式，如果SELinux安全服务器授予权限，该主体就能够访问该目标；如果SELinux安全服务器未授予权限，就会在/var/log/messages中记录一条拒绝信息。项目知识准备项目设计与准备项目实施项目实录：配置与管理firewalld防火墙内容导航CONTENTS二、项目设计与准备项目设计与准备部署firewalld和NAT应满足下列需求，完成的任务如下。（1）服务器安装好企业版Linux网络操作系统，并且必须保证常用服务正常工作。客户端使用Linux或Windows网络操作系统。服务器和客户端能够通过网络进行通信。（2）或者利用虚拟机设置网络环境。（3）3台安装好KylinOS的计算机。本项目要完成的任务如下。（1） 安装与配置firewalld。（2） 配置SNAT和DNAT。可以使用VMwareWorkstation的“克隆”技术快速安装需要的Linux客户端。项目知识准备项目设计与准备项目实施项目实录：配置与管理firewalld防火墙内容导航CONTENTS三、项目实施任务3-1使用firewalld服务KylinOS集成了多款防火墙管理工具，其中firewalld提供了支持在网络/防火墙区域（zone）定义网络连接以及接口安全等级的动态防火墙管理工具—Linux操作系统的动态防火墙管理器（DynamicFirewallManagerofLinuxSystems）。Linux操作系统的动态防火墙管理器拥有基于命令行界面（CommandLineInterface，CLI）和基于图形用户界面（GraphicalUserInterface，GUI）的两种管理方式。三、项目实施任务3-1使用firewalld服务1．使用终端管理工具命令行终端是一种极富效率的运行工具，firewall-cmd命令是firewalld防火墙管理工具的CLI版本。三、项目实施任务3-1使用firewalld服务（2）使用终端管理工具实例。①查看firewalld服务当前状态和使用的区域。[root@Server01~]#firewall-cmd--state #查看防火墙状态[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默认区域public②查询防火墙生效ens33

网卡在firewalld服务中的区域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看当前防火墙中生效的区域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #设定默认区域三、项目实施任务3-1使用firewalld服务（2）使用终端管理工具实例。③把firewalld服务中ens33

网卡的默认区域修改为external，并在系统重启后生效。分别查看运行时模式与永久模式下的区域名称。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定区域的火墙策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens33success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens33trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens33no

zone④把firewalld服务的当前默认区域设置为public。⑤启动/关闭firewalld服务的应急状况模式，阻断一切网络连接。三、项目实施任务3-1使用firewalld服务（2）使用终端管理工具实例。④把firewalld服务的当前默认区域设置为public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤启动/关闭firewalld服务的应急状况模式，阻断一切网络连接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、项目实施任务3-1使用firewalld服务（2）使用终端管理工具实例。⑥查询public区域是否允许请求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服务中请求https的流量设置为永久允许，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以设定的服务[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墙策略三、项目实施任务3-1使用firewalld服务2.使用图形管理工具（1） 启动图形界面的firewalld。在终端执行命令“firewall-config”或者选择“开始”→“所有程序”→“系统工具”→“防火墙”命令，打开如图所示的firewall-config界面，其功能具体如下。①设置运行时模式或永久模式。②显示可选的区域集合列表。③显示常用的系统服务列表。④显示当前正在使用的区域。⑤管理当前被选中区域中的服务。⑥管理当前被选中区域中的端口。⑦开启或关闭SNAT技术。⑧设置端口转发策略。⑨控制请求互联网控制报文协议（InternetControlMessageProtocol，ICMP）服务的流量。三、项目实施任务3-1使用firewalld服务2.使用图形管理工具（2）将当前区域中请求http服务的流量策略设置为允许，但仅限当前生效，具体配置如图所示。三、项目实施任务3-2设置SELinux的模式SELinux有3个模式（可以由用户设置），这些模式将规定SELinux在主体请求时如何应对。（1） enforcing（强制）：强制执行SELinux策略，基于SELinux策略规则授予或拒绝授予主体对目标的访问权限。（2） permissive