《第15章配置与管理防火墙课件.ppt》由会员分享,可在线阅读,更多相关《第15章配置与管理防火墙课件.ppt(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、LinuxLinux操作系统与实训操作系统与实训( (第四版第四版)杨云杨云 编著编著中国铁道出版社中国铁道出版社国家精品课程国家精品课程/国家精品资源共享课程国家精品资源共享课程配套教材配套教材第15章 配置与管理防火墙第15章 配置与管理防火墙防火墙是一种非常重要的网络安全工具,利用防火墙可以保护企业内部网络免受外网的威胁,作为网络管理员,掌握防火墙的安装与配置非常重要。本章重点介绍firewall和iptables防火墙的配置。学习要点:l 防火墙的分类及工作原理。l 掌握firewall防火墙的配置l 了解NATl 掌握SNAT和DNAT的配置。15.1 防火墙概述15.4 NAT综合
2、案例第15章 配置与管理防火墙15.2 使用firewalld服务15.3 实现NAT15.1 防火墙概述 什么是防火墙防火墙通常具备以下几个特点。 (1)位置权威性。 (2)检测合法性。 (3)性能稳定性。15.1.2 防火墙的种类(1)包过滤防火墙。 (2)代理防火墙。 (3)状态检测技术。 15.1.3 iptables与firewall 早期的Linux系统采用过ipfwadm作为防火墙,但在核心中被ipchains所取代。Linux 2.4版本发布后,netfilter/iptables信息包过滤系统正式使用。 Netfilter/iptables IP数据包过滤系统实际由netfi
3、lter和iptables两个组件构成。Netfilter是集成在内核中的一部分,它的作用是定义、保存相应的规则。而iptables是一种工具,用以修改信息的过滤规则及其他配置。用户可以通过iptables来设置适合当前环境的规则,而这些规则会保存在内核空间中。 对于Linux服务器而言,采用netfilter/iptables数据包过滤系统,能够节约软件成本,并可以提供强大的数据包过滤控制功能,iptables是理想的防火墙解决方案。 使用终端管理工具 命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。它的参数一般都
4、是以“长格式”来提供的,但幸运的是RHEL 7系统支持部分命令的参数补齐。现在除了能用Tab键自动补齐命令或文件名等内容之外,还可以用Tab键来补齐。使用终端管理工具1. 查看firewalld服务当前所使用的区域:rootRHEL7-1 # systemctl stop iptablesrootRHEL7-1 # systemctl start firewalldrootRHEL7-1 # firewall-cmd -get-default-zonepublic2. 查询ens33网卡在firewalld服务中的区域:rootRHEL7-1 # firewall-cmd -get-zone-
5、of-interface=ens33public使用终端管理工具3. 把firewalld服务中ens33网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称:rootRHEL7-1 #firewall-cmd -permanent -zone=external -change-interface=ens33successrootRHEL7-1 # firewall-cmd -get-zone-of-interface=ens33externalrootRHEL7-1 # firewall-cmd -permanent -get-zone-of-inte
6、rface=ens33no zone4. 把firewalld服务的当前默认区域设置为public:rootRHEL7-1 # firewall-cmd -set-default-zone=publicsuccessrootRHEL7-1 # firewall-cmd -get-default-zone public使用终端管理工具7. 把firewalld服务中请求HTTPS协议的流量设置为永久允许,并立即生效:rootRHEL7-1 # firewall-cmd -zone=public -add-service=httpssuccessrootRHEL7-1 # firewall-cmd
7、 -permanent -zone=public -add-service=httpssuccessrootRHEL7-1 # firewall-cmd -reloadsuccess8. 把firewalld服务中请求HTTP协议的流量设置为永久拒绝,并立即生效:rootRHEL7-1 # firewall-cmd -permanent -zone=public -remove-service=http successrootRHEL7-1 # firewall-cmd -reload success使用终端管理工具9. 把在firewalld服务中访问8088和8089端口的流量策略设置为允
8、许,但仅限当前生效:rootRHEL7-1 # firewall-cmd -zone=public -add-port=8088-8089/tcpsuccessrootRHEL7-1 # firewall-cmd -zone=public -list-ports 8088-8089/tcp firewalld中的富规则表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。15.2.2 使用图形管理工具 firewall-config是firewalld防火墙配置管理工具的GUI(图形用户界面
9、)版本,几乎可以实现所有以命令行来执行的操作。毫不夸张的说,即使读者没有扎实的Linux命令基础,也完全可以通过它来妥善配置RHEL 7中的防火墙策略。 在终端中输入命令:firewall-config或者依次单击“Applications”“Sundry”“Firewall”。 特别注意:在使用firewall-config工具配置完防火墙策略之后,无须进行二次确认,因为只要有修改内容,它就自动进行保存。15.3 实现NAT iptables防火墙利用nat表能够实现NAT功能,将内网地址与外网地址进行转换,完成内、外网的通信。15.3.1 iptables实现NATnat表支持以下3种操作
10、。SNAT:改变数据包的源地址。防火墙会使用外部地址,替换数据包的本地网络地址。这样使网络内部主机能够与网络外部通信。DNAT:改变数据包的目的地址。防火墙接收到数据包后,会将该包目的地址进行替换,重新转发到网络内部的主机。当应用服务器处于网络内部时,防火墙接收到外部的请求,会按照规则设定,将访问重定向到指定的主机上,使外部的主机能够正常访问网络内部的主机。MASQUERADE:MASQUERADE的作用与SNAT完全一样,改变数据包的源地址。因为对每个匹配的包,MASQUERADE都要自动查找可用的IP地址,而不像SNAT用的IP地址是配置好的。所以会加重防火墙的负担。当然,如果接入外网的地
11、址不是固定地址,而是ISP随机分配的,使用MASQUERADE将会非常方便。15.3.2 配置SNAT SNAT功能是进行源IP地址转换,也就是重写数据包的源IP地址。若网络内部主机采用共享方式,访问Internet连接时就需要用到SNAT的功能,将本地的IP地址替换为公网的合法IP地址。 SNAT只能用在nat表的POSTROUTING链,并且只要连接的第一个符合条件的包被SNAT进行地址转换,那么这个连接的其他所有的包都会自动地完成地址替换工作,而且这个规则还会应用于这个连接的其他数据包。15.3.3 配置DNAT DNAT能够完成目的网络地址转换的功能,换句话说,就是重写数据包的目的IP
12、地址。DNAT是非常实用的。例如,企业Web服务器在网络内部,其使用私网地址,没有可在Internet上使用的合法IP地址。这时,互联网的其他主机是无法与其直接通信的,那么,可以使用DNAT,防火墙的80端口接收数据包后,通过转换数据包的目的地址,信息会转发给内部网络的Web服务器。 DNAT需要在nat表的PREROUTING链设置,配置参数为-to-destination,命令格式如下。iptables -t nat -A PREROUTING -d IP1 i 网络接口 p 协议 -dport 端口 -j DNAT-to-destination IP215.3.4 MASQUERADE
13、MASQUERADE和SNAT作用相同,也是提供源地址转换的操作,但它是针对外部接口为动态IP地址而设计的,不需要使用-to-source指定转换的IP地址。如果网络采用的是拨号方式接入Internet,而没有对外的静态IP地址,那么,建议使用MASQUERADE。【例15-1】 公司内部网络有230台计算机,网段为,并配有一台拨号主机,使用接口ppp0接入Internet,所有客户端通过该主机访问互联网。这时,需要在拨号主机进行设置,将的内部地址转换为ppp0的公网地址,如下所示。rootRHEL7-1 # iptables -t nat -A POSTROUTING -o ppp0注意:M
14、ASQUERADE是特殊的过滤规则,它只可以伪装从一个接口到另一个接口的数据。15.3.5 连接跟踪1. 什么是连接跟踪。 通常,在iptables防火墙的配置都是单向的,例如,防火墙仅在INPUT链允许主机访问Google站点,这时,请求数据包能够正常发送至Google服务器,但是,当服务器的回应数据包抵达时,因为没有配置允许的策略,则该数据包将会被丢弃,无法完成整个通信过程。 连接跟踪依靠数据包中的特殊标记,对连接状态“state”进行检测,Netfilter能够根据状态决定数据包的关联,或者分析每个进程对应数据包的关系,决定数据包的具体操作。连接跟踪存在4种数据包的状态,如下所示。NEW
15、:想要新建立连接的数据包。INVALID:无效的数据包,例如损坏或者不完整的数据包。ESTABLISHED:已经建立连接的数据包。RELATED:与已经发送的数据包有关的数据包。15.3.5 连接跟踪2. iptbles连接状态配置。配置iptables的连接状态,使用选项-m,并指定state参数,选项-state后跟状态,如下所示。-m state -state假如,允许已经建立连接的数据包,以及已发送数据包相关的数据包通过,则可以使用-m选项,并设置接受ESTABLISHED和RELATED状态的数据包,如下所示。rootRHEL7-1 # iptables -I INPUT -m st
16、ate -state ESTABLISHED, RELATED -j ACCEPT15.4 NAT综合案例15.4.1 企业环境公司网络拓扑图如图15-6所示。内部主机使用网段的IP地址,并且使用Linux主机作为服务器连接互联网,外网地址为固定地址。现需要满足如下要求。 配置SNAT保证内网用户能够正常访问Internet; 配置DNAT保证外网用户能够正常访问内网的Web服务器。15.4 NAT综合案例Linux服务器和客户端的信息如表15-3所示(可以使用VM的克隆技术快速安装需要的Linux客户端)。主机名称操作系统IP地址角色内网服务器:RHEL7-1RHEL 7192.168.10
17、.1(VMnet1)Web服务器、iptables防火墙防火墙:RHEL7-2RHEL 7IP1:192.168.10.20(VMnet1)IP2:202.112.113.112(VMnet8)iptables、SNAT、DNAT外网Linux客户端:Client2RHEL 7202.112.113.113(VMnet8)Web、firewall15.4.2 解决方案1.配置SNAT并测试(1)搭建并测试环境(2)在RHEL7-2上配置防火墙SNAT(3)在外网Client2上配置供测试的Web(4)在内网RHEL7-1上测试SNAT配置是否成功2. 配置DNAT并测试(1)在RHEL7-1上配置内网Web及防火墙(2)在防火墙RHEL7-2上配置DNAT(3)在外网Client2上测试其他需要说明的信息其他需要说明的信息本项目后的实训视频、其他文件请详见随书光盘。本教材电子教案、试卷等全套资源提供群: 414901724作者QQ:68433059教材教材ISBN:9787113-27064-3