項目3 配置與管理防火墻

項目3

配置與管理防火墻能力要求CAPACITY了解防火墻的分類及工作原理。0103掌握SNAT。02掌握DNAT。思政導(dǎo)入IDEOLOGY明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范和精神，樹立社會主義核心價值觀！思政目標(biāo)IDEOLOGY

“大學(xué)之道，在明明德，在親民，在止于至善。”“‘高山仰止，景行行止?！m不能至，然心鄉(xiāng)往之”。了解計算機的主奠基人——華羅庚教授，知悉讀大學(xué)的真正含義，以德化人，激發(fā)學(xué)生的科學(xué)精神和愛國情懷。思政內(nèi)容IDEOLOGY在我國計算機發(fā)展的歷史長河中，有一位做出突出貢獻(xiàn)的科學(xué)家，他也是中國計算機的主奠基者，你知道他是誰嗎？他就是華羅庚教授—我國計算技術(shù)的奠基人和主要的開拓者之一。華羅庚教授在數(shù)學(xué)上的造詣和成就深受世界科學(xué)家的贊賞。在美國任訪問研究員時，華羅庚教授的心里就已經(jīng)開始勾畫我國電子計算機事業(yè)的藍(lán)圖了！項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：配置與管理firewalld防火墻內(nèi)容導(dǎo)航CONTENTS一、項目知識準(zhǔn)備防火墻概述通常所說的網(wǎng)絡(luò)防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

防火墻的分類方法多種多樣，不過從傳統(tǒng)意義上講，防火墻大致可以分為三大類，分別是“包過濾”“應(yīng)用代理”“狀態(tài)檢測”。一、項目知識準(zhǔn)備iptables與firewalld通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

早期的Linux系統(tǒng)采用ipfwadm作為防火墻，但在2.2.0版本中其被ipchains取代。Linux2.4發(fā)布后，netfilter/iptables數(shù)據(jù)包過濾系統(tǒng)正式使用。它引入了很多重要的改進，比如基于狀態(tài)的功能、基于任何傳輸控制協(xié)議（TransmissionControlProtocol，TCP）標(biāo)記和MAC地址的包過濾功能、更靈活的配置和記錄功能、強大且簡單的NAT功能和透明代理功能等，然而，最重要的變化是引入了模塊化的架構(gòu)方式。這使得iptables的運用和功能擴展更加方便、靈活。一、項目知識準(zhǔn)備iptables與firewalld通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

在KylinOS中，firewalld防火墻取代了iptables防火墻。實際上，iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具，或者說，它們只是一種服務(wù)。iptables服務(wù)會把配置好的防火墻策略交由內(nèi)核層面的netfilter網(wǎng)絡(luò)過濾器來處理，而firewalld服務(wù)則把配置好的防火墻策略交由內(nèi)核層面的iptables包過濾框架來處理。換句話說，當(dāng)前在Linux系統(tǒng)中其實存在多個防火墻管理工具，旨在方便運維人員管理Linux系統(tǒng)中的防火墻策略，我們只需要配置妥當(dāng)其中的一個就足夠了。雖然這些工具各有優(yōu)劣，但它們在防火墻策略的配置思路上是保持一致的。一、項目知識準(zhǔn)備NAT基礎(chǔ)知識通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

1. NAT的主要功能NAT主要具有以下功能。（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務(wù)器和負(fù)載均衡。（4）實現(xiàn)透明代理。

這樣在內(nèi)網(wǎng)中，計算機使用未注冊的專用IP地址，而在與外網(wǎng)通信時，計算機使用注冊的公用IP地址，大大降低了連接成本。同時NAT也起到將內(nèi)網(wǎng)隱藏起來、保護內(nèi)網(wǎng)的作用，因為對外部用戶來說，只有使用公用IP地址的NAT是可見的，這類似于防火墻的安全措施。一、項目知識準(zhǔn)備NAT基礎(chǔ)知識通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

2.NAT的工作過程（1）客戶端將數(shù)據(jù)包發(fā)送給運行NAT的計算機。（2）NAT將數(shù)據(jù)包中的端口號和專用IP地址轉(zhuǎn)換成自己的端口號和公用IP地址，然后將數(shù)據(jù)包發(fā)送給外網(wǎng)的目的主機，同時在映像表中記錄一個跟蹤信息，以便向客戶端發(fā)送回答信息。（3）外網(wǎng)發(fā)送回答信息給NAT。（4）NAT將收到的數(shù)據(jù)包中的端口號和公用IP地址轉(zhuǎn)換為客戶端的端口號和內(nèi)網(wǎng)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶端。一、項目知識準(zhǔn)備NAT基礎(chǔ)知識通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

3.NAT的分類（1）源NAT（SourceNAT，SNAT）是指改變第一個包的源IP地址。SNAT會在包被送出之前的“最后一刻”做好路由后（Post-Routing）的動作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。（2）目的NAT（DestinationNAT，DNAT）是指改變第一個包的目的IP地址。DNAT總是在包進入后立刻進行預(yù)路由（Pre-Routing）動作。端口轉(zhuǎn)發(fā)、負(fù)載均衡和透明代理均屬于DNAT。一、項目知識準(zhǔn)備SELinux通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

安全增強型Linux（Security-EnhancedLinux，SELinux）是美國國家安全局（NationalSecurityAgency，NSA）對于強制訪問控制的實現(xiàn)，是Linux歷史上杰出的新安全子系統(tǒng)。NSA在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在它的任務(wù)中所需的文件。2.6及以上版本的Linux內(nèi)核都集成了SELinux模塊。學(xué)好SELinux是每個Linux系統(tǒng)管理員的必修課。一、項目知識準(zhǔn)備SELinux通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

1.DACLinux上傳統(tǒng)的訪問控制標(biāo)準(zhǔn)是自主訪問控制（DiscretionaryAccessControl，DAC）。在這種形式下，一個軟件或守護進程以用戶ID（UserID，UID）或設(shè)置用戶ID（SetUserID，SUID）的身份運行，并且擁有該用戶的目標(biāo)（文件、套接字，以及其他進程）權(quán)限。這使得惡意代碼很容易運行在特定權(quán)限之下，從而取得訪問關(guān)鍵子系統(tǒng)的權(quán)限。而最致命的問題是，root用戶不受任何管制，其可以無限制地訪問系統(tǒng)上的任何資源。一、項目知識準(zhǔn)備SELinux通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

2.MAC在使用了SELinux的操作系統(tǒng)中，決定一個資源是否能被訪問的因素除了“某個資源是否擁有對應(yīng)的用戶權(quán)限（讀、寫、執(zhí)行）”之外，還需要判斷每一類進程是否擁有對某一類資源的訪問權(quán)限。這樣即使進程是以root用戶身份運行的，也需要判斷這個進程的類型以及允許訪問的資源類型，才能決定是否允許訪問某個資源，進程的活動空間也可以被壓縮到最小。即使是以root用戶身份運行的服務(wù)進程，一般也只能訪問到它需要的資源。即使程序出了漏洞，影響范圍也只在其允許訪問的資源范圍內(nèi)，安全性大大提高。這種權(quán)限管理機制的主體是進程，這種機制稱為強制訪問控制（MandatoryAccessControl，MAC）。SELinux實際上就是MAC理論最重要的實現(xiàn)之一，并且SELinux從架構(gòu)上允許DAC和MAC兩種機制都起作用。一、項目知識準(zhǔn)備SELinux通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

3.SELinux工作機制與SELinux相關(guān)的概念如下。（1）主體（Subject）。（2）目標(biāo)（Object）。（3）策略（Policy）。（4）模式（Mode）。當(dāng)一個主體（如一個程序）嘗試訪問一個目標(biāo)（如一個文件）時，內(nèi)核中的SELinux安全服務(wù)器（SELinuxSecurityServer）將在策略數(shù)據(jù)庫（PolicyDatabase）中運行一個檢查。該檢查基于當(dāng)前的模式，如果SELinux安全服務(wù)器授予權(quán)限，該主體就能夠訪問該目標(biāo)；如果SELinux安全服務(wù)器未授予權(quán)限，就會在/var/log/messages中記錄一條拒絕信息。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：配置與管理firewalld防火墻內(nèi)容導(dǎo)航CONTENTS二、項目設(shè)計與準(zhǔn)備項目設(shè)計與準(zhǔn)備部署firewalld和NAT應(yīng)滿足下列需求，完成的任務(wù)如下。（1）服務(wù)器安裝好企業(yè)版Linux網(wǎng)絡(luò)操作系統(tǒng)，并且必須保證常用服務(wù)正常工作?？蛻舳耸褂肔inux或Windows網(wǎng)絡(luò)操作系統(tǒng)。服務(wù)器和客戶端能夠通過網(wǎng)絡(luò)進行通信。（2）或者利用虛擬機設(shè)置網(wǎng)絡(luò)環(huán)境。（3）3臺安裝好KylinOS的計算機。本項目要完成的任務(wù)如下。（1） 安裝與配置firewalld。（2） 配置SNAT和DNAT?？梢允褂肰MwareWorkstation的“克隆”技術(shù)快速安裝需要的Linux客戶端。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：配置與管理firewalld防火墻內(nèi)容導(dǎo)航CONTENTS三、項目實施任務(wù)3-1使用firewalld服務(wù)KylinOS集成了多款防火墻管理工具，其中firewalld提供了支持在網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義網(wǎng)絡(luò)連接以及接口安全等級的動態(tài)防火墻管理工具—Linux操作系統(tǒng)的動態(tài)防火墻管理器（DynamicFirewallManagerofLinuxSystems）。Linux操作系統(tǒng)的動態(tài)防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項目實施任務(wù)3-1使用firewalld服務(wù)1．使用終端管理工具命令行終端是一種極富效率的運行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項目實施任務(wù)3-1使用firewalld服務(wù)（2）使用終端管理工具實例。①查看firewalld服務(wù)當(dāng)前狀態(tài)和使用的區(qū)域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態(tài)[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默認(rèn)區(qū)域public②查詢防火墻生效ens33

網(wǎng)卡在firewalld服務(wù)中的區(qū)域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看當(dāng)前防火墻中生效的區(qū)域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #設(shè)定默認(rèn)區(qū)域三、項目實施任務(wù)3-1使用firewalld服務(wù)（2）使用終端管理工具實例。③把firewalld服務(wù)中ens33

網(wǎng)卡的默認(rèn)區(qū)域修改為external，并在系統(tǒng)重啟后生效。分別查看運行時模式與永久模式下的區(qū)域名稱。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定區(qū)域的火墻策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens33success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens33trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens33no

zone④把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。⑤啟動/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接。三、項目實施任務(wù)3-1使用firewalld服務(wù)（2）使用終端管理工具實例。④把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、項目實施任務(wù)3-1使用firewalld服務(wù)（2）使用終端管理工具實例。⑥查詢public區(qū)域是否允許請求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務(wù)中請求https的流量設(shè)置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設(shè)定的服務(wù)[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項目實施任務(wù)3-1使用firewalld服務(wù)2.使用圖形管理工具（1） 啟動圖形界面的firewalld。在終端執(zhí)行命令“firewall-config”或者選擇“開始”→“所有程序”→“系統(tǒng)工具”→“防火墻”命令，打開如圖所示的firewall-config界面，其功能具體如下。①設(shè)置運行時模式或永久模式。②顯示可選的區(qū)域集合列表。③顯示常用的系統(tǒng)服務(wù)列表。④顯示當(dāng)前正在使用的區(qū)域。⑤管理當(dāng)前被選中區(qū)域中的服務(wù)。⑥管理當(dāng)前被選中區(qū)域中的端口。⑦開啟或關(guān)閉SNAT技術(shù)。⑧設(shè)置端口轉(zhuǎn)發(fā)策略。⑨控制請求互聯(lián)網(wǎng)控制報文協(xié)議（InternetControlMessageProtocol，ICMP）服務(wù)的流量。三、項目實施任務(wù)3-1使用firewalld服務(wù)2.使用圖形管理工具（2）將當(dāng)前區(qū)域中請求http服務(wù)的流量策略設(shè)置為允許，但僅限當(dāng)前生效，具體配置如圖所示。三、項目實施任務(wù)3-2設(shè)置SELinux的模式SELinux有3個模式（可以由用戶設(shè)置），這些模式將規(guī)定SELinux在主體請求時如何應(yīng)對。（1） enforcing（強制）：強制執(zhí)行SELinux策略，基于SELinux策略規(guī)則授予或拒絕授予主體對目標(biāo)的訪問權(quán)限。（2） permissive