RHEL7版-项目07-网络配置与Firewalld防火墙的管理

第1页Linux网络操作系统配置与管理2020年6月1日星期一“十二五”职业教育国家规划教材RedHatEnterpriseLinux7.3（RHEL7.3）Linux网络操作系统配置与管理(第三版)主编：夏笠芹项目7网络配置与Firewalld防火墙的管理课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)红帽认证+全国技能大赛资料知识拓展&网络工程解决方案附赠光盘第2页Linux网络操作系统配置与管理2020年6月1日星期一项目7网络配置与Firewalld防火墙的管理【职业知识目标】了解：网络配置文件及配置方式;防火墙的概念、功能与分类；NAT服务的概念及分类熟悉:Linux防火墙的历史演进与架构、firewalld防火墙的组成；NAT服务的工作过程掌握:主机名、以太网卡的设置；软路由器的配置；防火墙的配置；NAT的配置方法【职业能力目标】会配置主机名和网卡、路由；会配置客户端名称解析架设软路由器实现多子网连通会安装FirewallD防火墙运行管理；会使用图形工具firewall-config配置防火墙使用命令行工具firewall-cmd配置防火墙会使用firewalld防火墙部署NAT服务第3页Linux网络操作系统配置与管理2020年6月1日星期一德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成,并通过租用电信400MB光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下三个方面实施网络配置:网络主机(终端节点)的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。7.1项目描述第4页Linux网络操作系统配置与管理2020年6月1日星期一7.2项目知识准备7-2-1网络配置的主要文件和对象1.网络配置的主要文件及目录路径及文件名功能/etc/hostname用于设置和保存静态主机名/etc/machine-info用于设置和保存灵活主机名/etc/hosts用于设置主机名映射为IP地址,从而实现主机名的解析/etc/sysconfig/network-scripts/网络接口(网卡)配置文件的存放目录/etc/resolv.conf用于对主机的DNS服务器IP地址进行配置/etc/nsswitch.conf用于指定域名解析顺序/etc/services用于设置主机的不同端口对应的网络服务(一般无需修改)/usr/lib/sysctl.d/00-system.conf用于开启或关闭路由转发功能,从而使数据包能在不同子网之间转发/etc/sysconfig/network-scripts/route-ensXX用于设置并保存静态路由信息,从而将Linux服务器构建为软路由器第5页Linux网络操作系统配置与管理2020年6月1日星期一2.网络配置的主要对象——网络接口与网络连接网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:en——示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如:oindex——表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号;sslot——表示是插在可以热拔插的插槽上的独立设备及索引号;xMAC——表示基于MAC地址命名的设备;pbus——表示PCI插槽的物理位置及编号。网络连接则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。7-2-1网络配置的主要文件和对象第6页Linux网络操作系统配置与管理2020年6月1日星期一7.2.2认识防火墙1．什么是防火墙防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。第7页Linux网络操作系统配置与管理2020年6月1日星期一2.防火墙的功能①过滤进出网络的数据包,封堵某些禁止的访问行为②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。③对网络攻击进行检测和告警。防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。7.2.2认识防火墙第8页Linux网络操作系统配置与管理2020年6月1日星期一3.防火墙的类型1）按采用的技术划分①包过滤型防火墙——在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素，来决定是否允许该数据包通过。（包的大小1500字节）②代理服务器型防火墙——是运行在防火墙之上的一种应用层服务器程序，它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。7.2.2认识防火墙第9页Linux网络操作系统配置与管理2020年6月1日星期一2）按实现的环境划分①软件防火墙：学校、上前台电脑的网吧普通计算机+通用的操作系统（如：linux）②硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如：NetScreen、FortiNet）通常有三个以上网卡接口外网接口：用于连接Internet网；内网接口：用于连接代理服务器或内部网络；DMZ接口（非军事化区）：专用于连接提供服务的服务器群。Console口4个10/100/1000口并发连接数:500000网络吞吐量:1100Mbps过滤带宽:250MbpsCheckPointUTM-15707.2.2认识防火墙第10页Linux网络操作系统配置与管理2020年6月1日星期一7.2.3Linux防火墙历史演进与架构1．Linux防火墙的历史从1.1内核开始，Linux系统就已经具有包过滤功能了，随着Linux内核版本的不断升级，Linux下的包过滤系统经历了如下4个阶段：在2.0内核中，包过滤的机制是ipfw，管理防火墙的命令工具是ipfwadm。在2.2内核中，包过滤的机制是ipchain，管理防火墙的命令工具是ipchains。在2.4之后的内核中，包过滤的机制是netfilter，防火墙的命令工具是iptables。在3.10之后的内核中,包过滤机制是netfilter,管理防火墙的工具有firewalld、iptables等。firewalld的官网：第11页Linux网络操作系统配置与管理2020年6月1日星期一2．Linux防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成:①内核层的netfilter：netfilter是集成在内核中的一部分作用是定义、保存相应的过滤规则。提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。netfilter是表的容器，表是链的容器，而链又是规则的容器。表→链→规则的分层结构来组织规则②中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的netfilter来读取,从而调整防火墙规则。③用户层工具:是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。7.2.3Linux防火墙历史演进与架构第12页Linux网络操作系统配置与管理2020年6月1日星期一表→链→规则的结构来组织规则7.2.3Linux防火墙历史演进与架构第13页Linux网络操作系统配置与管理2020年6月1日星期一7.2.4RHEL7中防火墙的构件RHEL7中引入了一种与netfilter交互的新的中间层服务程序firewalld(旧版中的iptables、ip6tables和ebtables等仍保留),firewalld是一个可以配置和监控系统防火墙规则的系统服务程序或守护进程,该守护进程具备了对IPv4、IPv6和ebtables等多种规则的监控功能,不过firewalld底层调用的命令仍然是iptables等。firewalld防火墙体系结构如图7-2所示。第14页Linux网络操作系统配置与管理2020年6月1日星期一7.2.4RHEL7中防火墙的构件在RHEL7中用户层的配置firewalld防火墙规则的工具有以下三种:图形工具firewall-config。命令行工具firewall-cmd。直接编辑/etc/firewalld/目录中扩展名为.xml的一系列配置文件。为了简化防火墙管理,firewalld将所有网络流量划分为多个区域。根据数据包源IP地址或传入网络接口等条件,流量将转入相应区域的防火墙规则,firewalld提供的几种预定义的区域及防火墙初始规则见表7-2。第15页Linux网络操作系统配置与管理2020年6月1日星期一7.2.4RHEL7中防火墙的构件区域(zone)区域中包含的初始规则trusted(受信任的)允许所有流入的数据包。home(家庭)拒绝流入的数据包,允许外出及服务ssh,mdns,ipp-client,samba-client与dhcpv6-client。internal(内部)拒绝流入的数据包,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。public(公开)拒绝流入的数据包,允许外出及服务ssh、dhcpv6-client,新添加的网络接口缺省的默认区域。external(外部)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client,默认启用了伪装。dmz(隔离区)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh。block(阻塞)拒绝流入的数据包,除非与输出流量数据包相关。drop(丢弃)任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。第16页Linux网络操作系统配置与管理2020年6月1日星期一数据包要进入到内核必须要通过这些区域(zone)中的一个,不同的区域里预定义的防火墙规则不一