《Linux系統(tǒng)管理與服務配置（CentOS 8）》 課件 工單25-27 CentOS8郵箱服務器配置、防火墻配置規(guī)則、防火墻應用

Linux系統(tǒng)管理與服務配置(CentOS

8)

25CentOS8配置郵箱服務器

工單二十五CentOS8配置郵箱服務器

完成標準/要求前置能力質量要求熟悉CentOS8基本命令，Centos8網路配置1、安裝郵件服務器Postfix2、安裝與配置收信服務器Dovecot1、能安裝郵件服務器Postfix2、能安裝與配置收信服務器Dovecot工單二十五CentOS8配置郵箱服務器

知識引入CentOS8兩種配置網絡連接方式：01電子郵件服務簡介電子郵件服務的工作原理03電子郵件服務的工作原理02MTA和SMTP工單二十五CentOS8配置郵箱服務器

知識引入01電子郵件服務簡介

電子郵件（E-mail，又稱電子函件、電郵或郵件）是指通過互聯網進行書寫、發(fā)送和接收信件，目的是達成發(fā)信人和收信人之間的信息交互，它是—種用電子手段提供信息交換的通信方式，是Internet最基本、應用最廣、最重要的服務之一。工單二十五CentOS8配置郵箱服務器

知識引入01電子郵件服務的工作原理工單二十五CentOS8配置郵箱服務器

知識引入02MTA

MTA（MailTransferAgent）即郵件傳輸代理，在Linux主機上可以配置一個郵件傳輸代理，進行電子郵件的傳送。MTA的主要功能是接收用戶或者其他MTA發(fā)送的郵件，如果接受的郵件是發(fā)送給本地用戶的，MTA將郵件保存到Mailbox（收件箱）中，否則MTA將郵件轉發(fā)給其他郵件服務器。工單二十五CentOS8配置郵箱服務器

知識引入02

SMTP

簡單郵件傳輸協議（SimpleMailTransferProtocol，SMTP）是互聯網上郵件傳輸的標準協議，是一種用于由源地址到目的地址傳送郵件的規(guī)則，用它來控制郵件的傳輸方式。SMTP協議使用TCP端口25，屬于TCP/IP協議族，它幫助每臺計算機在發(fā)送或中轉信件時找到下一個目的地。通過SMTP協議所指定的服務器，就可以把E－mail寄到收信人的服務器上了，整個過程只要幾分鐘。SMTP服務器則是遵循SMTP協議的發(fā)送郵件服務器，用來發(fā)送或中轉發(fā)出的電子郵件。工單二十五CentOS8配置郵箱服務器

知識引入03主流電子郵件服務器軟件

電子郵件服務器軟件有很多，在Linux系統(tǒng)下最常用的有Sendmail、Postfix和Qmail。工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

操作步驟步驟一步驟二步驟三步驟四安裝并啟動Postfix配置Postfix設置Postfix防火墻驗證安裝郵件服務器Postfix工單二十五CentOS8配置郵箱服務器任務一安裝郵件服務器Postfix

知識引入01安裝并啟動Postfix命令行環(huán)境

#yumlistpostfix

工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

知識引入02配置Postfix命令行環(huán)境

Postfix的主要配置文件在/etc/postfix目錄下有main.cf、master.cf和access這幾個配置文件：#vim/etc/postfix/main.cfmyhostname=#myhostname參數是指系統(tǒng)的主機名稱，此參數需要使用FQDN，并且會被很多后續(xù)參數引用?，F在的ISP郵件服務器一般會對接收的郵件進行域名反向解析，因此必須配置DNS合法的A記錄及MX記錄：mydomain=#mydomain參數是指email服務器的域名，和myhostname參數類似，必須是正式域名工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

知識引入02配置Postfix命令行環(huán)境myorigin=$mydomainmynetworks=/24,/8,hash:/etc/postfix/accessmydestination=$myhostname,localhost.$mydomain,localhost工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

知識引入02配置Postfix命令行環(huán)境inet_interfaces=allrelay_domains=$mydestinationhome_mailbox=Maildir/alias_maps=hash:/etc/aliases工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

知識引入03設置Postfix防火墻命令行環(huán)境如果Postfix安裝完成后，系統(tǒng)25端口仍然不能通信，則需要檢查郵件服務器防火墻設置，可通過添加如下iptables命令打開系統(tǒng)的25端口，其中$EXTIF表示外網網卡接口。iptables-AINPUT-pTCP-i$EXTIF--dport25--sport1024:65534-jACCEPT因為已經設置inet_interfaces=all，可以通過查看監(jiān)聽端口是否向所有主機開放。#netstat-tlnp|grep:25tcp00:25:*LISTEN-如果返回以上結果，則配置已經修改成功。工單二十五CentOS8配置郵箱服務器

任務一安裝郵件服務器Postfix

知識引入04驗證命令行環(huán)境#cat/var/spool/mail/wjFromroot@SunJan621:50:592013Return-Path:<root@>X-Original-To:wjDelivered-To:wj@Fromroot@MonApr1802:50:462022Return-Path:<root@>X-Original-To:wjDelivered-To:wj@Received:frommail(localhost[]) by(Postfix)withESMTPid31EA13264C26 for<wj>;Mon,18Apr202202:50:03+0800(CST)Message-Id:<20220417185016.31EA13264C26@>Date:Mon,18Apr202202:50:03+0800(CST)From:root@Thisisatestmailfromroot!

郵件已經發(fā)送成功，如果沒有修改main.cf文件中的home_mailbox參數的話郵件保存在/var/spool/mail/wj文件中，可以通過cat或者more命令查看郵件內容。工單二十五CentOS8配置郵箱服務器

任務二安裝與配置收信服務器Dovecot

操作步驟步驟一步驟二步驟三安裝Dovecot

配置Dovecot驗證

安裝與配置收信服務器Dovecot工單二十五CentOS8配置郵箱服務器任務二安裝與配置收信服務器Dovecot

知識引入02安裝Dovecot

命令行環(huán)境通過yum命令安裝Dovecot。#yum-yinstalldovecot工單二十五CentOS8配置郵箱服務器任務二安裝與配置收信服務器Dovecot

知識引入02配置Dovecot

命令行環(huán)境#vim/etc/dovecot/dovecot.confprotocols=imappop3#打開IMAP和POP3協議

#

vim/etc/dovecot/conf.d/10-ssl.confssl=no#關閉ssl啟動Dovecot服務并且設置為開機啟動：

#servicedovecotstart#chkconfigdovecoton工單二十五CentOS8配置郵箱服務器任務二安裝與配置收信服務器Dovecot

知識引入02驗證

命令行環(huán)境查看POP3以及IMAP端口是否已經打開。#netstat-tlnp|grepdovecottcp00:587:*LISTEN7757/dovecottcp00:110:*LISTEN7757/dovecottcp00:143:*LISTEN7757/dovecottcp600:::587:::*LISTEN7757/dovecottcp600:::110:::*LISTEN7757/dovecottcp600:::143:::*LISTEN7757/dovecot如果Dovecot安裝完成后，系統(tǒng)防火墻還需要打開POP3的110端口以及IMAP的143端口，可通過添加如下iptables命令打開系統(tǒng)的兩個端口，其中$EXTIF表示郵件服務器網卡接口。iptables-AINPUT-pTCP-i$EXTIF--dport110--sport1024:65534-jACCEPTiptables-AINPUT-pTCP-i$EXTIF--dport143--sport1024:65534-jACCEPT工單二十五CentOS8配置郵箱服務器

任務三設置電子郵件客戶端MozillaThunderbird

操作步驟步驟一步驟二步驟三步驟四

步驟五添加郵件賬號。設置郵件服務類型加密警告。設置完成。設置電子郵件客戶端MozillaThunderbird驗證工單二十五CentOS8配置郵箱服務器任務三設置電子郵件客戶端MozillaThunderbird

知識引入03添加郵件賬號啟動Thunderbird軟件，選擇“賬號操作”→“添加郵件賬號”命令，打開“郵件賬號設置”對話框，輸入名字、電子郵件地址和密碼。名字表示收件人可以看到的發(fā)件人的名字，電子郵件地址這里填寫企業(yè)郵箱的地址，密碼為郵箱密碼。工單二十五CentOS8配置郵箱服務器任務三設置電子郵件客戶端MozillaThunderbird

知識引入03設置郵件服務類型在設置“電子郵件地址”和“密碼”后，會出現電子郵箱服務IMAP和POP3的選項，這里選擇IMAP工單二十五CentOS8配置郵箱服務器任務三設置電子郵件客戶端MozillaThunderbird

知識引入03加密警告由于企業(yè)郵箱的當前設置沒有使用加密手段，Thunderbird會出現警告提示框，選擇“我已了解相關風險”復選框，單擊“完成”按鈕工單二十五CentOS8配置郵箱服務器任務三設置電子郵件客戶端MozillaThunderbird

知識引入03設置完成工單二十五CentOS8配置郵箱服務器任務三設置電子郵件客戶端MozillaThunderbird

知識引入03驗證可以使用企業(yè)郵箱正常的與外網以及自身郵箱收發(fā)郵件工單十三CentOS8配置網絡連接

實訓目的

（1）熟悉并掌握在Linux平臺郵件服務器的安裝與配置。

（2）了解使用郵件客戶端軟件收發(fā)企業(yè)郵件的方法。工單十三CentOS8配置網絡連接

實訓內容1）設置電子郵件服務器內網接口為eth0，IP地址為，外網接口eth1，IP地址為動態(tài)獲取。（2）安裝Postfix軟件，將Postfix服務設置為開機啟動，配置防火墻，打開SMTP對應的25號端口。（3）配置電子郵件服務器的相關的DNS服務，添加相應的的MX記錄和A記錄，設置本地郵件服務器域名為，添加系統(tǒng)用戶test。（4）配置Postfix服務，修改/etc/postfix/main.cf文件，設置myhostname、mydomain、myorigin、mynetworks、mydestination和inet_interfaces等相關參數。（5）重新啟動Postfix服務，查看SMTP的端口25是否打開。（6）設置Postfix郵箱容量，設置用戶郵箱總容量為1GB，單個郵件容量設置為50MB。（7）設置Postfix郵箱別名，將發(fā)給test用戶的郵件讓test和root用戶都可以看到。（8）設置群郵箱別名，將發(fā)給student2013的郵件發(fā)送到test、zhang、liu、wang、xu五個賬號。（9）使用telnet命令以test@賬號收發(fā)內網以及外網郵件。（10）安裝Dovecot服務，設置Dovecot服務開機啟動。（11）配置Dovecot服務，開啟POP3和IMAP服務。（12）設置主機防火墻，打開POP3和IMAP對應的110和143端口。（13）使用netstat命令查看端口打開情況。（14）下載并安裝MozillaThunderbird郵件客戶端軟件。（15）在Thunderbird軟件中添加test@郵件賬號，設置賬號密碼，使用Thunderbird軟件進行內外網的郵件收發(fā)操作。Linux系統(tǒng)管理與服務配置(CentOS

8)

26CentOS8防火墻配置規(guī)則

工單二十六CentOS8防火墻配置規(guī)則完成標準/要求前置能力質量要求掌握CentOS8的安裝，熟悉CentOS8基本命令，熟悉Linux軟件安裝方法1、了解Linux系統(tǒng)防火墻和firewalld防火墻基本概念2、掌握使用firewall-cmd管理防火墻的規(guī)則掌握firewalld防火墻富規(guī)則管理方法1、配置Linux防火墻參數2、使用iptables配置防火墻規(guī)則2、使用firewall-cmd配置防火墻規(guī)則工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入Linux防火墻簡介：

防火墻是部署在網絡邊界上的一種安全系統(tǒng)，其概念比較寬泛，根據需求的不同，它可以工作在開放式系統(tǒng)互聯（OpenSystemInterconnection，OSI）網絡模型的一層或多層上。一般情況下，防火墻會和路由器搭配使用，或者說路由器能夠承擔部分防火墻的功能，從而對網絡進行隔離。

根據實現方式和功能的不同，防火墻可以分為3種類型：包過濾防火墻、應用網關防火墻和狀態(tài)檢測防火墻。不同的防火墻在性能和防護能力上有各自的特點，適用于不同的場合。防火墻分類如圖工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入

包過濾防火墻工作在網絡層和傳輸層上。在這兩個層級中，網絡請求都是以TCP或者UDP數據包的形式進行流動的。

應用網關防火墻以代理的模式工作在應用層。所謂“代理”，即接收客戶端發(fā)出的請求，然后以客戶端的身份將請求再發(fā)往服務端。大部分的系統(tǒng)和應用都是工作在應用層的，因此，應用網關防火墻能夠獲取到系統(tǒng)和應用的全部信息，從而實現更復雜的功能。

狀態(tài)檢測防火墻是包過濾防火墻的一種升級，它同樣工作在網絡層和傳輸層上。狀態(tài)檢測防火墻和包過濾防火墻最大的不同在于，它會以連接的形式來“看待”低層級的TCP和UDP數據包。工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入Linux系統(tǒng)內核中還包含nftables，這是一個新的過濾器和數據包分類子系統(tǒng)，其增強了netfilter的部分代碼，但仍保留了netfilter的架構，nftables更新的優(yōu)勢在于更快的數據包處理速度、更快的規(guī)則集更新速度，以及以相同的規(guī)則同時處理IPv4和IPv6。nftables與原始netfilter之間的另一個主要區(qū)別是它們的接口。netfilter通過多個實用程序框架進行配置，其中包括iptables、ip6tables、arptables和ebtables。工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入RHEL7引入了一種與netfilter交互的新方法——firewalld。firewalld是一個可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)守護進程。firewalld守護進程從firewalld軟件包安裝，此軟件包屬于基本安裝的一部分，不屬于最小化安裝的一部分。firewalld將所有網絡流量分為多個區(qū)域，從而簡化防火墻管理。firewalld配置文件存儲在兩個位置：/etc/firewalld和/usr/lib/firewalld。如果名稱相同的配置文件同時存儲在兩個位置，則將使用/etc/firewalld中的版本。firewalld服務對防火墻策略的配置默認是當前生效模式（RunTime），因此配置信息會隨著計算機重啟而失效。如果想要讓配置的策略一直存在，那就要使用永久生效模式（Permanent），即在命令中加入permanent參數。集更新速度，以及以相同的規(guī)則同時處理IPv4和IPv6。

工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入01

通過將網絡劃分成不同的區(qū)域，制定出不同區(qū)域之間的訪問控制策略來控制不同程序區(qū)域間傳送的數據流。預定義區(qū)域一、預定義區(qū)域

系統(tǒng)防火墻初始化區(qū)域及功能序號區(qū)域功能1阻塞區(qū)域（block）任何傳入的網絡數據包都將被阻止2工作區(qū)域（work）信任網絡上的其他計算機，不會損害你的計算機3家庭區(qū)域（home）信任網絡上的其他計算機，不會損害你的計算機4公共區(qū)域（public）不信任網絡上的任何計算機，只選擇接受傳入的網絡連接。firewalld的默認區(qū)域是public5隔離區(qū)域（DMZ）隔離區(qū)域是在內外網絡之間增加的一層網絡，起到緩沖作用。對于隔離區(qū)域，只選擇接受傳入的網絡連接6信任區(qū)域（trusted）所有的網絡連接都可以接受7丟棄區(qū)域（drop）任何傳入的網絡連接都被拒絕8內部區(qū)域（internal）信任網絡上的其他計算機，不會損害你的計算機。只選擇接受傳入的網絡連接9外部區(qū)域（external）不信任網絡上的其他計算機，不會損害你的計算機。只選擇接受傳入的網絡連接工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入02

操作系統(tǒng)管理員可以通過3種方式與firewalld交互，第一種方式是直接編輯/etc/firewalld中的配置文件，第二種方式是使用firewall-config圖形化工具，第三種方式是使用firewall-cmd命令行工具。firewalld防火墻配置二、firewalld防火墻配置

firewall-cmd命令參數及作用序號參數作用1--set-default-zone=<區(qū)域名稱>設置默認的區(qū)域，使其永久生效2--get-zones顯示可用的區(qū)域3--get-services顯示預先定義的服務4--get-active-zones顯示當前正在使用的區(qū)域與網卡名稱5--add-source=將源自此IP或子網的流量導向指定的區(qū)域6--remove-source=不再將源自此IP或子網的流量導向某個指定區(qū)域7--add-interface=<網卡名稱>將源自該網卡的所有流量都導向某個指定區(qū)域8--change-interface=<網卡名稱>將某個網卡與區(qū)域進行關聯9--list-all顯示當前區(qū)域的網卡配置參數、資源、端口以及服務等信息10--list-all-zones顯示所有區(qū)域的網卡配置參數、資源、端口以及服務等信息11--add-service=<服務名>設置默認區(qū)域允許該服務的流量12--add-port=<端口號/協議>設置默認區(qū)域允許該端口的流量13--remove-service=<服務名>設置默認區(qū)域不再允許該服務的流量14--remove-port=<端口號/協議>設置默認區(qū)域不再允許該端口的流量15--reload讓“永久生效”的配置規(guī)則立即生效，并覆蓋當前的配置規(guī)則工單二十六CentOS8防火墻配置規(guī)

任務一Linux防火墻簡介

知識引入03

firewalld上有一些預定義服務，這些預定義服務可幫助你識別要配置的特定網絡服務。預定義服務三、預定義區(qū)域

初始防火墻區(qū)域配置中使用的預定義服務序號服務名稱配置內容1SSH本地SSH服務器。到22/tcp的流量2dhcpv6-client本地DHCPv6客戶端。到fe80::/64IPv6網絡中546/udp的流量3ipp-client本地IPP打印。到631/udp的流量4samba-client本地Windows文件和打印共享客戶端。到137/udp和138/udp的流量5mDNS多播DNS（mDNS）本地鏈路名稱解析。到5353/udp指向51（IPv4）或ff02::fb（IPv6）多播地址的流量工單二十六CentOS8防火墻配置規(guī)

任務二firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四（1）查詢系統(tǒng)當前防火墻信息。[root@server～]#firewall-cmd--list-all（2）查詢預定義firewalld服務。[root@server～]#firewall-cmd--get-services（3）查看系統(tǒng)存在的防火墻區(qū)域。[root@server～]##firewall-cmd--get-zones（4）查看firewalld服務當前所使用的區(qū)域。[root@server～]#firewall-cmd--get-default-zone（5）將firewalld防火墻服務的當前默認區(qū)域設置為public。[root@server～]#firewall-cmd--set-default-zone=public[root@server～]#firewall-cmd--get-default-zone[root@server～]#firewall-cmd--get-active-zones[root@server～]#firewall-cmd--get-active-zones（6）查詢eno16777728網卡在firewalld服務中的區(qū)域。[root@server～]#firewall-cmd--get-zone-of-interface=eno16777728（7）將firewalld防火墻服務中eno16777736網卡的默認區(qū)域修改為external。[root@server～]#firewall-cmd--permanent--zone=external[root@server～]#firewall-cmd--get-zone-of-interface=eno16777736（8）查詢在public區(qū)域中的ssh與https服務請求是否被允許。[root@server～]#firewall-cmd--zone=public--query-service=ssh[root@server～]#firewall-cmd--zone=public--query-service=https（9）將firewalld防火墻服務中https服務的請求流量設置為永久允許。[root@server～]#firewall-cmd--permanent--zone=public--add-service=https[root@server～]#firewall-cmd--reload（10）將firewalld防火墻服務中8899/tcp端口的請求流量設置為允許放行。[root@server～]#firewall-cmd--zone=public--permanent[root@server～]#firewall-cmd--list-portsfirewalld防火墻管理工單二十六CentOS8防火墻配置規(guī)

任務三iptables防火墻管理

知識引入02

iptables是運行在用戶空間的應用軟件，通過控制Linux內核netfilter模塊，來管理網絡數據包的處理和轉發(fā)。iptables防火墻管理一、iptables防火墻管理

在大部分Linux發(fā)行版中，可以通過手冊頁（頁面存檔備份，存于互聯網檔案館）或maniptables獲取用戶手冊。

通常iptables需要內核模塊支持才能運行，此處相應的內核模塊通常是Xtables。因此，iptables操作需要超級用戶權限，其可執(zhí)行文件通常位于/sbin/iptables或/usr/sbin/iptables。同時，需要說明的是，以上命令通常只用于處理IPv4數據包；而對于IPv6數據包，則使用類似的ip6tables命令。工單二十六CentOS8防火墻配置規(guī)

任務三

firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四查詢iptables規(guī)則[root@server～]##iptables-L（2）刪除已有規(guī)則在開始創(chuàng)建[root@server～]#iptables-F（3）設置鏈的默認策略[root@server～]#iptables-PINPUTDROP[root@server～]#iptables-PFORWARDDROP[root@server～]#iptables-POUTPUTDROP[root@server～]#iptables-AINPUT-ieth0-s"$BLOCK_THIS_IP"-jDROP[root@server～]#iptables-AINPUT-ieth0-ptcp-s"$BLOCK_THIS_IP"-jDROP（4）允許所有SSH的連接請求[root@server～]#iptables-AINPUT-ieth0-ptcp--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT（5）僅允許來自指定網絡的SSH連接請求[root@server～]#iptables-AINPUT-ieth0-ptcp-s/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT工單二十六CentOS8防火墻配置規(guī)

任務三

firewalld防火墻管理

操作步驟步驟一步驟二步驟三步驟四（6）允許http和https的連接請求[root@server～]#iptables-AINPUT-ieth0-ptcp--dport80-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--dport443-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport443-mstate--stateESTABLISHED-jACCEPT（7）僅允許從本地發(fā)起到一個指定的網絡域的SSH請求/24。[root@server～]#iptables-AOUTPUT-oeth0-ptcp-d/24--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--sport22-mstate--stateESTABLISHED-jACCEPT（10）端口轉發(fā)[root@server～]#iptables-tnat-APREROUTING-ptcp-d7--dport422-jDNAT--to7:22（11）防止DoS攻擊。[root@server～]#iptables-AINPUT-ptcp--dport80-mlimit--limit25/minute--limit-burst100-jACCEPT（8）允許從本地發(fā)起的HTTPS連接請求[root@server～]#iptables-AOUTPUT-oeth0-ptcp--dport443-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AINPUT-ieth0-ptcp--sport443-mstate--stateESTABLISHED-jACCEPT（9）允許來自指定網絡的MySQL連接請求[root@server～]#iptables-AINPUT-ieth0-ptcp-s/24--dport3306-mstate--stateNEW,ESTABLISHED-jACCEPT[root@server～]#iptables-AOUTPUT-oeth0-ptcp--sport3306-mstate--stateESTABLISHED-jACCEPT工單二十六CentOS8防火墻配置規(guī)

實訓目的理解Linux系統(tǒng)防火墻和firewall防火墻服務基本概念。掌握firewalld防火墻服務策略的實施和管理方法。實訓內容使用firewald設置防火墻規(guī)則使用iptables設置防火墻規(guī)則Linux系統(tǒng)管理與服務配置(CentOS

8)

27CentOS8防火墻應用

工單二十七CentOS8防火墻應用完成標準/要求前置能力質量要求掌握CentOS8的安裝，熟悉CentOS8基本命令，熟悉Linux軟件安裝方法1、了解Linux系統(tǒng)防火墻和firewalld防火墻基本概念2、掌握使用firewall-cmd管理防火墻的規(guī)則掌握firewalld防火墻富規(guī)則管理方法1、配置Linux防火墻參數2、使用firewall-cmd配置防火墻富規(guī)則2、使用SELinux配置安全規(guī)則工單二十七CentOS8防火墻應用

任務一防火墻富規(guī)則和SELinux

知識引入CentOS8兩種配置網絡連接方式：01

firewalld富規(guī)則為管理員提供了一種表達性語言，通過這種語言可表達firewalld的基本語法中未涵蓋的自定義防火墻規(guī)則；支持配置更復雜的防火墻配置。防火墻富規(guī)則02通過相關的網絡配置命令端口轉發(fā)工單二十七CentOS8防火墻應用任務一防火墻富規(guī)則和SELinux

知識引入01防火墻富規(guī)則富規(guī)則基本語法：rule[source][destination]service|port|protocol|icmp-block|masquerade|forward-port[log][audit][accept|reject|drop]富規(guī)則參數序號參數作用1--add-rich-rule='<RULE>'向指定區(qū)域中添加<RULE>，如果未指定區(qū)域，則向默認區(qū)域中添加2--remove-rich-rule='<RULE>'從指定區(qū)域中刪除<RULE>，如果未指定區(qū)域，則從默認區(qū)域中刪除3--query-rich-rule='<RULE>'查詢指定區(qū)域中刪除的<RULE>，如果未指定區(qū)域，則從默認區(qū)域中查詢

--list-rich-rules輸出指定區(qū)域的所有富規(guī)則，如果未指定區(qū)域，則從默認區(qū)域富規(guī)則端口轉發(fā)工單二十七CentOS8防火墻應用任務一防火墻富規(guī)則和SELinux

知識引入02

firewalld支持兩種類型的網絡地址轉換：偽裝和端口轉發(fā)。端口轉發(fā)

第一種NAT形式是偽裝，通過偽裝，系統(tǒng)會將非直接尋址到自身的包轉發(fā)到指定接收方，同時將通過的包的源地址更改為其自己的公共IP地址。

第二種NAT形式是端口轉發(fā)，通過端口轉發(fā)，指向單個端口的流量將轉發(fā)到相同計算機上的不同端口，或者轉發(fā)到不同計算機上的端口。工單二十七CentOS8防火墻應用任務一防火墻富規(guī)則和SELinux

知識引入03

安全增強式Linux是一個Linux操作系統(tǒng)內核的安全模塊，已經被添加到各種Linux操作系統(tǒng)發(fā)行版中。SELinux基本概念

安全增強式Linux是一個Linux操作系統(tǒng)內核的安全模塊，已經被添加到各種Linux操作系統(tǒng)發(fā)行版中。

SELinux的主要目標是防止已遭泄露的系統(tǒng)服務訪問用戶數據，大多數Linux操作系統(tǒng)管理員都熟悉標準的用戶/組/其他權限安全模型。這種基于用戶和組的模型稱為“自由決定的訪問控制”它基于對象并由更加復雜的規(guī)則控制，稱為“強制訪問控制”工單二十七CentOS8防火墻應用任務一防火墻富規(guī)則和SELinux

知識引入04

SELinux是用于確定哪個進程可以訪問哪些文件、目錄和端口的一組安全規(guī)則。SELinux上下文

SELinux標簽具有多種上下文：用戶、角色、類型和敏感度。目標策略會根據第三個上下文（即類型上下文）來制定自己的規(guī)則。類型上下文名稱通常以_t結尾。

SELinux管理過程中，進程是否可以正確地訪問文件資源，取決于它們的安全上下文。進程和文件都有自己的安全上下文，SELinux會為進程和文件添加安全信息標簽，工單二十七CentOS8防火墻應用任務一防火墻富規(guī)則和SELinux

知識引入05

SELinux不僅進行文件和進程標記，還嚴格實施網絡流量規(guī)則。SELinux端口標記

SELinux用來控制網絡流量的一種方法是標記網絡端口。

當某個進程系統(tǒng)偵聽端口時，SELinux將檢查是否允許與該進程（域）相關聯的標簽綁定該端口標簽。這可以阻止惡意服務控制本應由其他合法網絡服務使用的端口。工單十三CentOS8配置網絡連接任務一防火墻富規(guī)則和SELinux

操作步驟步驟一步驟二步驟三步驟四（1）防火墻基本規(guī)則[root@server～]#firewall-cmd--permanent--add-rich-rule="rule

family="ipv4"sourceaddress="/24"servicename="ssh"reject"[root@server～]#firewall-cmd--reload[root@server～]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject

（2）端口轉發(fā)防火墻規(guī)則在server上配置防火墻，將端口443/tcp轉發(fā)到22/tcp。[root@server～]#firewall-cmd--permanent