《Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理》課件-項(xiàng)目11 配置防火墻與NAT服務(wù)器

配置防火墻與NAT服務(wù)器項(xiàng)目11任務(wù)描述

11.1任務(wù)分析

11.2知識(shí)儲(chǔ)備11.3任務(wù)實(shí)施11.4拓展訓(xùn)練11.5總結(jié)提高11.61知識(shí)目標(biāo)3素質(zhì)目標(biāo)2技能目標(biāo)了解防火墻的基本概念及工作原理了解netfilter/iptables的架構(gòu)掌握iptables和firewall-cmd的命令格式掌握防火墻的配置方法掌握NAT的配置方法會(huì)檢查并安裝iptables軟件包會(huì)啟動(dòng)和停止iptables和firewalld服務(wù)能使用iptables和firewall-cmd配置防火墻能配置與管理NAT能解決防火墻配置中出現(xiàn)的問(wèn)題養(yǎng)認(rèn)真細(xì)致的工作態(tài)度和工作作風(fēng)養(yǎng)成刻苦、勤奮、好問(wèn)、獨(dú)立思考和細(xì)心檢查的學(xué)習(xí)習(xí)慣能與組員精誠(chéng)合作，能正確面對(duì)他人的成功或失敗具有一定的自學(xué)能力，分析問(wèn)題、解決問(wèn)題能力和創(chuàng)新能力本項(xiàng)目詳細(xì)介紹防火墻的基本概念、工作原理、iptables的安裝與配置及管理防火墻的具體方法。通過(guò)任務(wù)案例引導(dǎo)大家檢查并安裝iptables；全面分析iptables命令和firewall-cmd命令的使用方法；具體訓(xùn)練大家利用iptables和firewall-cmd配置與管理防火墻的技能以及配置與管理NAT的技能。學(xué)習(xí)目標(biāo)11.1任務(wù)描述在天易教育培訓(xùn)中心的局域網(wǎng)中包含多個(gè)子網(wǎng)，這些子網(wǎng)都需要接入互聯(lián)網(wǎng)。因此，需要保障內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)通信流暢，及時(shí)發(fā)現(xiàn)并處理局域網(wǎng)運(yùn)行時(shí)出現(xiàn)的安全風(fēng)險(xiǎn)。既要阻止內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，又要阻止內(nèi)部用戶對(duì)外部不良資源的濫用，還要對(duì)發(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。此時(shí)，需要在局域網(wǎng)中進(jìn)行哪些配置才能為天易教育培訓(xùn)中心解決上述問(wèn)題呢？曹杰憑借所學(xué)的知識(shí)和工程項(xiàng)目的經(jīng)驗(yàn)，經(jīng)過(guò)認(rèn)真的分析認(rèn)為：要滿足以上要求，一是需要配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的通信；二是配置防火墻來(lái)保證網(wǎng)絡(luò)通信中的數(shù)據(jù)傳輸安全。防火墻是一個(gè)由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間構(gòu)造的保護(hù)屏障，是一種獲取網(wǎng)絡(luò)安全的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。11.2任務(wù)分析1、什么是防火墻2、什么是非軍事化區(qū)（DMZ）DMZ（DemilitarizedZone，非軍事化區(qū)，也稱為隔離區(qū)）是為了解決安裝防火墻后，外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣，來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn)DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。NAT是一個(gè)IETF（InternetEngineeringTaskForce,Internet工程任務(wù)組）標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。顧名思義，它是通過(guò)將專(zhuān)用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址，從而對(duì)外隱藏了內(nèi)部管理的IP地址。11.2任務(wù)分析3、什么是網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）4、包過(guò)濾器的操作流程如何包過(guò)濾操作的流程如圖11-2所示，幾乎現(xiàn)有的包過(guò)濾器都遵循此流程。本項(xiàng)目的具體任務(wù)包括安裝iptables、配置iptables防火墻和firewalld防火墻、使用iptables和firewall-cmd實(shí)現(xiàn)NAT等幾個(gè)方面，具體任務(wù)如下。1）安裝iptables：包括分析防火墻工作原理、安裝iptables。2）配置防火墻：包括分析iptables和firewalld、配置包過(guò)濾防火墻、企業(yè)配置案例。3）使用iptables和firewall-cmd實(shí)現(xiàn)NAT：包括啟動(dòng)防火墻服務(wù)、配置防火墻的服務(wù)器、配置防火墻客戶端、測(cè)試防火墻服務(wù)。11.2任務(wù)分析5、本項(xiàng)目的具體任務(wù)有哪些?11.3知識(shí)儲(chǔ)備防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻作為一種網(wǎng)絡(luò)或系統(tǒng)之間強(qiáng)制實(shí)行訪問(wèn)控制的機(jī)制，是確保網(wǎng)絡(luò)安全的重要手段。針對(duì)不同的需求和應(yīng)用環(huán)境，可以量身定制出不同的防火墻系統(tǒng)。在眾多網(wǎng)絡(luò)防火墻產(chǎn)品中，Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著。首先是Linux操作系統(tǒng)作為一個(gè)類(lèi)UNIX網(wǎng)絡(luò)操作系統(tǒng)，在系統(tǒng)的穩(wěn)定性、健壯性及價(jià)格的低廉性方面都獨(dú)具優(yōu)勢(shì)。11.3.1防火墻概述Internet中一個(gè)十分重要的資源就是軟件資源，而各種各樣的軟件資源大多數(shù)都放在FTP服務(wù)器中。用戶使用文件傳輸協(xié)議（FTP）通過(guò)網(wǎng)絡(luò)在計(jì)算機(jī)之間傳輸文件是很普遍的一種方法。幾乎在所有的平臺(tái)上面都有FTP的客戶端和服務(wù)器端的軟件，因此用FTP來(lái)傳送文件也是很方便的一種方法。

11.3知識(shí)儲(chǔ)備11.3.2防火墻的類(lèi)型和工作原理

1、按防火墻的組成結(jié)構(gòu)分目前普遍應(yīng)用的防火墻按組成結(jié)構(gòu)可分為軟件防火墻、硬件防火墻和芯片級(jí)防火墻三種。（1）軟件防火墻軟件防火墻是一種寄生在操作系統(tǒng)平臺(tái)的防火墻，它是通過(guò)純軟件的的方式實(shí)現(xiàn)隔離內(nèi)外部網(wǎng)絡(luò)的目的的。軟件防火墻在遇到密集的DOS攻擊的時(shí)候，它所能承受的攻擊強(qiáng)度遠(yuǎn)遠(yuǎn)低于硬件防火墻。如果所在的網(wǎng)絡(luò)環(huán)境中，攻擊頻度不是很高，用軟件防火墻就能滿足要求了。（2）硬件防火墻硬件防火墻是一種嵌入式系統(tǒng)，它是通過(guò)硬件和軟件的組合來(lái)達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目的的。硬件防火墻采用專(zhuān)用的硬件設(shè)備，然后集成生產(chǎn)廠商的專(zhuān)用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專(zhuān)屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達(dá)到線性。（3）芯片級(jí)防火墻芯片級(jí)防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快，處理能力更強(qiáng)，性能更高。11.3知識(shí)儲(chǔ)備11.3.2防火墻的類(lèi)型和工作原理

2、按防火墻的實(shí)現(xiàn)技術(shù)分防火墻的實(shí)現(xiàn)技術(shù)雖然許多，但總體來(lái)講可分為包過(guò)濾型（也稱分組過(guò)濾型）和應(yīng)用代理型兩大類(lèi)。防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)和代理服務(wù)。（1）包過(guò)濾防火墻包過(guò)濾（PacketFiltering）技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表（AccessControlTable）。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻的工作原理是系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無(wú)關(guān)，如圖11-3所示。11.3知識(shí)儲(chǔ)備11.3.2防火墻的類(lèi)型和工作原理

（2）應(yīng)用代理防火墻應(yīng)用代理（ApplicationProxy），也稱為應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能，針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。應(yīng)用代理防火墻是通過(guò)打破客戶端/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶端/服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻；另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程；或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻的缺點(diǎn)是可伸縮性差。應(yīng)用代理防火墻工作原理如圖11-4所示。11.3知識(shí)儲(chǔ)備11.3.2防火墻的類(lèi)型和工作原理

（3）狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。可以這樣說(shuō)，狀態(tài)檢測(cè)防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。狀態(tài)檢測(cè)防火墻工作原理如圖11-5所示。11.3知識(shí)儲(chǔ)備11.3.2防火墻的類(lèi)型和工作原理

（4）復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。復(fù)合型防火墻工作原理如圖11-6所示。11.3知識(shí)儲(chǔ)備在現(xiàn)有防火墻產(chǎn)品和技術(shù)中，將包過(guò)濾技術(shù)和多種應(yīng)用技術(shù)融合到一起，構(gòu)成復(fù)合型防火墻體系統(tǒng)結(jié)構(gòu)是目前國(guó)內(nèi)防火墻產(chǎn)品的一個(gè)特點(diǎn)，也是防火墻今后發(fā)展的主流技術(shù)。復(fù)合型防火墻解決方案通常有如下兩種。1．屏蔽主機(jī)防火墻體系結(jié)構(gòu)屏蔽主機(jī)防火墻體系結(jié)構(gòu)由包過(guò)濾路由器和堡壘主機(jī)構(gòu)成，其實(shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。對(duì)于這種防火墻系統(tǒng)，堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和Internet之間。在路由器上進(jìn)行規(guī)則配置，使得進(jìn)出的所有信息必須通過(guò)堡壘主機(jī)。這種路由允許堡壘主機(jī)把外部流量代理到內(nèi)部網(wǎng)絡(luò)前可進(jìn)行流量分析。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問(wèn)Internet，或者是要求使用堡壘主機(jī)上的代理服務(wù)來(lái)訪問(wèn)Internet，由機(jī)構(gòu)的安全策略來(lái)決定。對(duì)于這種體系結(jié)構(gòu)常見(jiàn)的拓?fù)淙鐖D11-7所示。在實(shí)際的應(yīng)用中，為了增強(qiáng)安全性，一般堡壘主機(jī)應(yīng)至少有兩個(gè)網(wǎng)卡，這樣可以從物理上隔離子網(wǎng)。11.3.3防火墻的構(gòu)造體系

11.3知識(shí)儲(chǔ)備2．屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)是將堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)（DMZ），兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)，如圖11-8所示。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了非軍事化區(qū)（DMZ）網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。在一般情況下，對(duì)DMZ配置成使用Internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠訪問(wèn)DMZ網(wǎng)絡(luò)上數(shù)目有限的系統(tǒng)，而通過(guò)DMZ網(wǎng)絡(luò)直接進(jìn)行信息傳輸是嚴(yán)格禁止的。11.3.3防火墻的構(gòu)造體系

11.3知識(shí)儲(chǔ)備1．防火墻的默認(rèn)設(shè)置防火墻有以下兩種默認(rèn)配置：1）拒絕所有的通信。在這種情況下，內(nèi)外的通信完全被阻斷，是最安全但也最不適用的形式。2）允許所有的通信。在這種情況下，內(nèi)外可以進(jìn)行無(wú)限制的通信，防火墻好像不存在。對(duì)于安全性要求比較高的防火墻，一般采用拒絕所有通信作為默認(rèn)設(shè)置。一旦安裝了防火墻，為了授予防火墻內(nèi)的用戶訪問(wèn)他們的被授權(quán)的系統(tǒng)，則需要根據(jù)公司的安全策略，只打開(kāi)某些特定的端口以允許特定的內(nèi)外通信，這就是需要進(jìn)行相應(yīng)的訪問(wèn)規(guī)則的配置。訪問(wèn)規(guī)則定義了允許或拒絕網(wǎng)絡(luò)之間的通信的條件。訪問(wèn)規(guī)則中運(yùn)用的元素是防火墻中可用于創(chuàng)建特定訪問(wèn)規(guī)則的配置對(duì)象，規(guī)則元素一般可分為以下5種類(lèi)型。3．訪問(wèn)規(guī)則的定義創(chuàng)建訪問(wèn)規(guī)則的步驟是選擇適當(dāng)?shù)脑L問(wèn)規(guī)則元素，然后定義元素之間的關(guān)系，如圖11-9所示。11.3.4防火墻的訪問(wèn)規(guī)則

11.3知識(shí)儲(chǔ)備在早期的Linux系統(tǒng)中，默認(rèn)使用iptables防火墻來(lái)管理和配置防火墻。RedHatEnterPriseLinux從7.0開(kāi)始使用firewalld（DynamicFirewallManagerofLinuxsystems，Linux系統(tǒng)的動(dòng)態(tài)防火墻管理器）服務(wù)是作為默認(rèn)的防火墻配置管理工具。其實(shí)iptables服務(wù)和firewalld服務(wù)都不是真正的防火墻，只是用來(lái)定義防火墻規(guī)則功能的管理工具，將定義好的規(guī)則交由內(nèi)核中的netfilter，從而實(shí)現(xiàn)真正的防火墻功能，其調(diào)用過(guò)程如圖11-9所示。在RHEL8.3中可以讓iptables、firewalld、ip6tables、btables等幾種防火墻共存，需要注意的是，不同的防火墻軟件相互間存在沖突，使用某個(gè)防火墻軟件時(shí)應(yīng)禁用其他的防火墻軟件。11.3.5firewalld簡(jiǎn)介

11.3知識(shí)儲(chǔ)備在RHEL8/CentOS8中可以讓iptables、firewalld、ip6tables、btables等幾種防火墻共存，需要注意的是，不同的防火墻軟件相互間存在沖突，使用某個(gè)防火墻軟件時(shí)應(yīng)禁用其它的防火墻軟件。1、firewalld的主要概念firewalld將所有網(wǎng)絡(luò)流量劃分為區(qū)（zones），簡(jiǎn)化防火墻管理。例如一個(gè)包傳入網(wǎng)絡(luò)接口時(shí)，會(huì)根據(jù)源IP地址把流量轉(zhuǎn)移到用于相應(yīng)的區(qū)域（zone）的防火墻規(guī)則。每個(gè)區(qū)域(zone)都預(yù)設(shè)開(kāi)放的或關(guān)閉的端口和服務(wù)列表。（1）過(guò)濾規(guī)則集合：zone11.3.5firewalld簡(jiǎn)介區(qū)域描述drop（丟棄）任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒(méi)有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接block（限制）任何接收的網(wǎng)絡(luò)連接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕public（公共）在公共區(qū)域內(nèi)使用，不能相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)對(duì)您的計(jì)算機(jī)造成危害，只能接收經(jīng)過(guò)選取的連接external（外部）特別是為路由器啟用了偽裝功能的外部網(wǎng)。無(wú)情ice信任來(lái)自網(wǎng)絡(luò)的其他計(jì)算，不能相信它們不會(huì)對(duì)您的計(jì)算機(jī)造成危害，只能接收經(jīng)過(guò)選擇的連接dmz（非軍事區(qū)）用于非軍事區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開(kāi)訪問(wèn)，可以有限地進(jìn)入內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過(guò)選擇的連接word（工作）用于工作區(qū)。您可以基本相信網(wǎng)絡(luò)內(nèi)的其他電腦不會(huì)危害您的電腦。僅僅接收經(jīng)過(guò)選擇的連接home（家庭）用于家庭網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)危害您的計(jì)算機(jī)。僅僅接收經(jīng)過(guò)選擇的連接internal（內(nèi)部）用于內(nèi)部網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)威脅您的計(jì)算機(jī)。僅僅接受經(jīng)過(guò)選擇的連接trusted（信任）可接受所有的網(wǎng)絡(luò)連接表11-1常見(jiàn)的zone區(qū)域及各區(qū)域的主要作用11.3知識(shí)儲(chǔ)備（2）service service中可以配置特定的端口（將端口和service的名字關(guān)聯(lián)）。zone中加入service規(guī)則就等效于直接加入了port規(guī)則，但是使用service更容易管理和理解。 定義service的方式：添加<service名稱>.xml文件，在其中加入要關(guān)聯(lián)的端口即可。（3）過(guò)濾規(guī)則

source：根據(jù)數(shù)據(jù)包源地址過(guò)濾，相同的source只能在一個(gè)zone中配置。

interface：根據(jù)接收數(shù)據(jù)包的網(wǎng)卡過(guò)濾。

service：根據(jù)服務(wù)名過(guò)濾（實(shí)際是查找服務(wù)關(guān)聯(lián)的端口，根據(jù)端口過(guò)濾），一個(gè)service可以配置到多個(gè)zone中。

port：根據(jù)端口過(guò)濾。

icmp-block：icmp報(bào)文過(guò)濾，可按照icmp類(lèi)型設(shè)置。

masquerade：ip地址偽裝，即將接收到的請(qǐng)求的源地址設(shè)置為轉(zhuǎn)發(fā)請(qǐng)求網(wǎng)卡的地址（路由器的工作原理）。

forward-port：端口轉(zhuǎn)發(fā)。

rule：自定義規(guī)則，與itables配置接近。rule結(jié)合--timeout可以實(shí)現(xiàn)一些有用的功能，比如可以寫(xiě)個(gè)自動(dòng)化腳本，發(fā)現(xiàn)異常連接時(shí)添加一條rule將相應(yīng)地址drop掉，并使用--timeout設(shè)置時(shí)間段，過(guò)了之后再自動(dòng)開(kāi)放。11.3.5firewalld簡(jiǎn)介表11-1常見(jiàn)的zone區(qū)域及各區(qū)域的主要作用11.3知識(shí)儲(chǔ)備（4）過(guò)濾規(guī)則優(yōu)先級(jí)。

source：源地址。

interface：接收請(qǐng)求的網(wǎng)卡。

firewalld.conf中配置的默認(rèn)zone。11.3.5firewalld簡(jiǎn)介表11-1常見(jiàn)的zone區(qū)域及各區(qū)域的主要作用11.3知識(shí)儲(chǔ)備2、firewalld的配置方法（1）運(yùn)行時(shí)配置。 實(shí)時(shí)生效，并持續(xù)至Firewalld重新啟動(dòng)或重新加載配置。 不中斷現(xiàn)有連接。 不能修改服務(wù)配置。（2）永久配置。 不立即生效，除非Firewalld重新啟動(dòng)或重新加載配置。 中斷現(xiàn)有連接。 可以修改服務(wù)配置11.3.5firewalld簡(jiǎn)介11.3知識(shí)儲(chǔ)備3、配置Firewalld方式

firewall-config：GUI圖形化工具，即使讀者沒(méi)有扎實(shí)的Linux命令基礎(chǔ)，也完全可以通過(guò)它來(lái)妥善配置防火墻策略。

firewall-cmd：命令行工具，firewall-cmd：命令行工具，但是讀者使用時(shí)需要具備一定的Linux命令基礎(chǔ)，還要掌握f(shuō)irewalld-cmd命令的使用方法。直接編輯xml文件：編輯完xml文件后還需要reload才能生效。不建議直接編輯配置文件，建議使用命令行工具。11.3.5firewalld簡(jiǎn)介11.3知識(shí)儲(chǔ)備對(duì)用戶來(lái)說(shuō)是透明的。NAT通常用于將內(nèi)部私有的IP地址翻譯成合法的公網(wǎng)IP地址，從而可以使內(nèi)網(wǎng)中的計(jì)算機(jī)共享公網(wǎng)IP，節(jié)省了IP地址資源?？梢赃@樣說(shuō)，正是由于NAT技術(shù)的出現(xiàn)，才使得IPv4的地址至今還足夠使用。因此，在IPv6廣泛使用前，NAT技術(shù)仍然還會(huì)廣泛地應(yīng)用。NAT服務(wù)器工作原理如圖11-10所示。11.3.6NAT工作原理11.4任務(wù)實(shí)施教師演示學(xué)生模仿任務(wù)案例11-1firewall-cmd是firewalld的字符界面管理工具，因此，配置firewalld防火墻的首要任務(wù)就是熟悉firewall-cmd的命令格式，接下來(lái)掌握預(yù)定義信息、區(qū)域管理、服務(wù)管理、端口服務(wù)管理的命令和參數(shù)使用，最后熟悉firewalld服務(wù)啟動(dòng)、停止、查看命令的使用。firewall-cmd支持動(dòng)態(tài)更新技術(shù)并加入了“zone區(qū)域”的概念，簡(jiǎn)單來(lái)說(shuō)就是為用戶預(yù)先準(zhǔn)備了幾套防火墻策略集合（策略模板），然后用戶可以根據(jù)生產(chǎn)場(chǎng)景的不同選擇合適的策略集合，實(shí)現(xiàn)了防火墻策略之間的快速切換。11.4.1熟悉firewalld命令11.4任務(wù)實(shí)施熟悉firewall-cmd命令格式：firewall-cmd命令語(yǔ)法如下：STEP01啟動(dòng)、停止、查看firewalld服務(wù)：在圖11-10中使用firewalld時(shí)，先要使用systemctlstatus檢查一下firewalld、iptables、ip6tables和ebtables等幾種防火墻的狀態(tài)，然后關(guān)閉firewalld以外的防火墻，接下來(lái)掌握如何啟動(dòng)、停止、重啟、查看firewalld防火墻，操作方法如下。STEP0211.4任務(wù)實(shí)施（1）查看預(yù)定義區(qū)域#firewall-cmd--get-zones（2）查看預(yù)定義服務(wù)#firewall-cmd--get-services（3）查看預(yù)定義的ICMP類(lèi)型#firewall-cmd--get-icmptypesSTEP03（1）查看當(dāng)前系統(tǒng)中的默認(rèn)區(qū)域[root@tianyi~]#firewall-cmd--get-default-zone（2）查看默認(rèn)區(qū)域的所有規(guī)則[root@tianyi~]#firewall-cmd--list-all（3）查看本機(jī)網(wǎng)絡(luò)接口ens33對(duì)應(yīng)區(qū)域[root@tianyi~]#firewall-cmd--get-zone-of-interface=ens33（4）將網(wǎng)絡(luò)接口ens33對(duì)應(yīng)區(qū)域修改為internal區(qū)域[root@localhost~]#firewall-cmd--zone=internal--change-interface=ens33[root@localhost~]#firewall-cmd--zone=internal--list-interfaces[root@localhost~]#firewall-cmd--get-zone-of-interface=ens33（5）查看所有激活區(qū)域[root@localhost~]#firewall-cmd--get-active-zonesSTEP0411.4任務(wù)實(shí)施（1）顯示默認(rèn)區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)[root@tianyi~]#firewall-cmd--list-services（2）設(shè)置默認(rèn)區(qū)域允許訪問(wèn)http服務(wù)[root@tianyi~]#firewall-cmd--add-service=http（3）設(shè)置默認(rèn)區(qū)域允許訪問(wèn)https服務(wù)[root@tianyi~]#firewall-cmd--add-service=https（4）再次查看默認(rèn)區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)[root@tianyi~]#firewall-cmd--list-services（5）設(shè)置internal區(qū)域允許訪問(wèn)mysql服務(wù)[root@tianyi~]#firewall-cmd--zone=internal--add-service=mysql（6）設(shè)置internal區(qū)域不允許訪問(wèn)samba-client服務(wù)[root@tianyi~]#firewall-cmd--zone=internal--remove-service=samba-client（7）查看internal區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)[root@tianyi~]#firewall-cmd--zone=internal--list-servicesSTEP0511.4任務(wù)實(shí)施（1）在internal區(qū)域打開(kāi)443/TCP端口[root@tianyi~]#firewall-cmd--zone=internal--add-port=443/tcpsuccess（2）在internal區(qū)域禁止443/TCP端口訪問(wèn)[root@tianyi~]#firewall-cmd--zone=internal--remove-port=443/tcpsuccess（3）啟用internal區(qū)域22端口的TCP協(xié)議組合[root@tianyi~]#firewall-cmd--zone=internal--add-port=22/tcp--timeout=5msuccess（4）查看internal區(qū)域內(nèi)允許訪問(wèn)的所有端口號(hào)[root@tianyi~]#firewall-cmd--zone=internal--list-ports22/tcpSTEP0611.4任務(wù)實(shí)施熟悉兩種配置模式：（1）運(yùn)行時(shí)模式（Runtimemode）表示當(dāng)前內(nèi)存中運(yùn)行的防火墻配置，在系統(tǒng)或firewalld服務(wù)重啟、停止時(shí)配置將失效。（2）永久模式（Permanentmode）表示重啟防火墻或重新加載防火墻時(shí)的規(guī)則配置，是永久存儲(chǔ)在配置文件中的。【操作示例11-1】設(shè)置8888和9999端口請(qǐng)求流量當(dāng)前生效[root@tianyi~]#firewall-cmd--zone=home--add-port=8888-9999/tcpsuccess[root@tianyi~]#firewall-cmd–reloadsuccess【操作示例11-2】設(shè)置https服務(wù)請(qǐng)求流量永久生效#firewall-cmd--permanent--zone=home--add-service=httpssuccessSTEP0711.4任務(wù)實(shí)施教師演示學(xué)生模仿任務(wù)案例11-2在圖11-10的企業(yè)網(wǎng)中，架設(shè)一臺(tái)Web服務(wù)器，IP地址是68，端口是80。然后設(shè)置內(nèi)網(wǎng)網(wǎng)段/24中的客戶機(jī)均可以訪問(wèn)這臺(tái)Web服務(wù)器。11.4.2

firewalld的配置案例11.4任務(wù)實(shí)施配置各主機(jī)和網(wǎng)卡參數(shù)：參考【任務(wù)案例11-6】配置好圖11-10中各主機(jī)的相關(guān)參數(shù)，如IP地址、網(wǎng)關(guān)和DNS等。STEP01在內(nèi)網(wǎng)的Web服務(wù)器上啟用firewalld防火墻：在內(nèi)網(wǎng)的Web服務(wù)器上啟用firewalld防火墻，并查看配置情況。STEP02在內(nèi)網(wǎng)的Web服務(wù)器上配置dmz區(qū)域。STEP03配置Web服務(wù)。STEP0411.4任務(wù)實(shí)施測(cè)試Web服務(wù):（1）在Web服務(wù)器（本機(jī)）上測(cè)試Web服務(wù)。（2）在局域網(wǎng)的其他主機(jī)（如2）上訪問(wèn)Web服務(wù)器STEP05在dmz區(qū)域允許http服務(wù)流量通過(guò):在dmz區(qū)域允許http服務(wù)流量通過(guò)，并讓其立即生效（且永久有效）。STEP06再次在其他主機(jī)上進(jìn)行測(cè)試:在網(wǎng)段/24的其他主機(jī)上再次進(jìn)行訪問(wèn)網(wǎng)站測(cè)試，此時(shí)測(cè)試成功。STEP0711.4任務(wù)實(shí)施教師演示學(xué)生模仿任務(wù)案例11-3在圖11-10的企業(yè)內(nèi)部網(wǎng)絡(luò)中部署SNAT和DNAT服務(wù)，使得內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)均能訪問(wèn)互聯(lián)網(wǎng)；而互聯(lián)網(wǎng)中的用戶只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器和FTP服務(wù)器。11.4.93

firewalld部署NAT服務(wù)企業(yè)內(nèi)部計(jì)算機(jī)要實(shí)現(xiàn)共享上網(wǎng)，就必須部署SNAT；而外部網(wǎng)絡(luò)中的計(jì)算機(jī)要訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器，就必須部署DNAT，接下來(lái)的任務(wù)就是使用filewalld部署NAT服務(wù)。11.4任務(wù)實(shí)施在NAT網(wǎng)關(guān)服務(wù)器上開(kāi)啟防火墻：在圖11-10的NAT服務(wù)器上開(kāi)啟防火墻→將網(wǎng)絡(luò)接口ens33移至外部區(qū)域（external）→將網(wǎng)絡(luò)接口ens38移至內(nèi)部區(qū)域（internal），并確保設(shè)置永久生效和立即生效。STEP01在NAT網(wǎng)關(guān)服務(wù)器上添加masquerading：（1）查看在外網(wǎng)卡所屬的外部區(qū)域（external）上是否添加偽裝（masquerading）功能(默認(rèn)已添加)。（2）如果沒(méi)有添加偽裝功能，則需要使用如下命令添加偽裝功能。（3）將source為/24網(wǎng)段來(lái)的數(shù)據(jù)包偽裝成external（即ens33）的地址STEP021.配置SNAT11.4任務(wù)實(shí)施在NAT網(wǎng)關(guān)服務(wù)器上開(kāi)啟IP轉(zhuǎn)發(fā)服務(wù):（1）如果需要臨時(shí)開(kāi)啟內(nèi)核路由轉(zhuǎn)發(fā)，則按照以下操作方法即可。（2）如果需要內(nèi)核路由轉(zhuǎn)發(fā)永久生效的話，則需要修改/etc/sysctl.conf，在其中修改net.ipv4.ip_forward=1（3）采用sysctl-p執(zhí)行，使之馬上生效（4）在內(nèi)網(wǎng)的客戶機(jī)ping網(wǎng)關(guān)服務(wù)器（NAT）上連接外網(wǎng)網(wǎng)卡的IP，如果能ping通，表示內(nèi)核路由轉(zhuǎn)發(fā)成功。STEP03在NAT網(wǎng)關(guān)服務(wù)器上設(shè)置默認(rèn)區(qū)域:將NAT服務(wù)器內(nèi)部區(qū)域（internal）設(shè)置為默認(rèn)區(qū)域→重載防火墻規(guī)則，將以上設(shè)置的永久狀態(tài)信息在當(dāng)前運(yùn)行下生效。STEP0411.4任務(wù)實(shí)施在客戶機(jī)中進(jìn)行測(cè)試:（1）將內(nèi)網(wǎng)中的客戶機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置為NAT服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡的IP地址（1），DNS設(shè)置成能夠進(jìn)行域名解析DNS（2）在內(nèi)網(wǎng)的客戶機(jī)中ping外網(wǎng)的服務(wù)器（如），如果能ping通，則表明SNAT服務(wù)部署成功。STEP0511.4任務(wù)實(shí)施配置NAT基礎(chǔ)環(huán)境：首先按照【任務(wù)案例11-10】在NAT服務(wù)器中添加網(wǎng)卡并配置好IP、再開(kāi)啟路由轉(zhuǎn)發(fā)。STEP01配置內(nèi)網(wǎng)Web服務(wù)器：接下來(lái)在內(nèi)部網(wǎng)絡(luò)的Web服務(wù)器（IP為68）上參考【任務(wù)案例11-9】配置好WEB服務(wù)。STEP022.配置DNAT在Web服務(wù)器上配置firewalld：接下來(lái)在內(nèi)部網(wǎng)絡(luò)的Web服務(wù)器（IP為68）上配置Web頁(yè)面內(nèi)容為“DNAT部署測(cè)試頁(yè)面!”。STEP0311.4任務(wù)實(shí)施在網(wǎng)關(guān)服務(wù)器上配置DNAT:將流入NAT網(wǎng)關(guān)服務(wù)器外網(wǎng)卡ens33(0)的80端口的數(shù)據(jù)包轉(zhuǎn)發(fā)給Web服務(wù)器(68)的8080端口。STEP04測(cè)試DNAT:最后在外網(wǎng)選擇一臺(tái)Windows7或RHEL8/CentOS8的客戶機(jī)設(shè)置好網(wǎng)關(guān)（0）和DNS，再打開(kāi)瀏覽器，在地址欄中輸入0，此時(shí)若能正常訪問(wèn)內(nèi)網(wǎng)中的Web服務(wù)器，說(shuō)明DNAT配置正確，如圖11-27所示。STEP0511.4任務(wù)實(shí)施教師演示學(xué)生模仿任務(wù)案例11-4前面已經(jīng)熟悉了在企業(yè)內(nèi)部網(wǎng)絡(luò)的firewalld防火墻中使用firewall-cmd命令方式配置firewalld防火墻。接下來(lái)請(qǐng)使用圖形化工具管理firewalld防火墻的相關(guān)策略。11.4.4使用firewalld防火墻策略的圖形化工具irewall-config命令是管理firewalld防火墻策略的圖形化工具，其界面友好、操作方便，通過(guò)firewall-config圖形化配置工具，可以實(shí)現(xiàn)配置防火墻允許通過(guò)的服務(wù)、端口、偽裝、端口轉(zhuǎn)發(fā)、ICMP過(guò)濾器等，幾乎所有命令行終端的操作都可以實(shí)現(xiàn)。11.4任務(wù)實(shí)施安裝firewalld防火墻策略的圖形化工具：在RHEL8/CentOS8中，默認(rèn)情況沒(méi)有安裝firewalld防火墻策略的圖形化工具，因此，需要使用yum方式進(jìn)行安裝，操作方法如下STEP01熟悉firewalld防火墻圖形化工作界面：當(dāng)在命令行執(zhí)行“firewall-config”命令即可啟動(dòng)firewalld防火墻圖形化配置主界面，如圖11-28所示。[root@tianyi~]#firewall-config//執(zhí)行“firewall-config”命令firewalld防火墻圖形化配置主界面包括主菜單、配置選項(xiàng)卡、區(qū)域設(shè)置區(qū)和狀態(tài)欄4個(gè)部分。STEP0211.4任務(wù)實(shí)施設(shè)置允許其他主機(jī)訪問(wèn)本機(jī)的http服務(wù)：在“活動(dòng)的綁定”區(qū)域中，選擇網(wǎng)絡(luò)適配器【ens33】→在“配置”下拉列表中選擇【運(yùn)行時(shí)】→單擊“區(qū)域”選項(xiàng)卡，在列表框中選擇需要更改設(shè)定的區(qū)域【public】→單擊“服務(wù)”標(biāo)簽，在列表框中勾選【http】，如圖11-29所示。STEP0311.4任務(wù)實(shí)施再添加一條允許8080-8090端口號(hào)入站請(qǐng)求數(shù)據(jù)策略：在“活動(dòng)的綁定”區(qū)域中，選擇網(wǎng)絡(luò)適配器【ens33】→在“配置”下拉列表中選擇【永久】→單擊“區(qū)域”選項(xiàng)卡，在列表框中選擇需要更改設(shè)定的區(qū)域【public】→單擊“端口”標(biāo)簽，單擊【添加】按鈕，打開(kāi)“端口和協(xié)議”窗口，如圖11-30所示。在“端口/端口范圍”文本框中輸入“8080-8090”，單擊“確定”按鈕完成設(shè)置，返回防火墻配置窗口。最后在菜單中單擊“選項(xiàng)”菜單，接下來(lái)選擇“重載防火墻”命令，如圖11-31所示。。STEP0411.4任務(wù)實(shí)施過(guò)濾“echo-reply”的ICMP協(xié)議報(bào)文數(shù)據(jù)包：在在“活動(dòng)的綁定”區(qū)域中，選擇網(wǎng)絡(luò)適配器【ens33】→在“配置”下拉列表中選擇【運(yùn)行時(shí)】→單擊“區(qū)域”選項(xiàng)卡，在列表框中選擇需要更改設(shè)定的區(qū)域【public】→單擊“ICMP過(guò)濾器”標(biāo)簽，在“ICMP類(lèi)型”