使用iptables與firewalld防火墻任課教師：XXX課程概述防火墻管理工具FirewallManagementTools01iptables02firewalld03服務的訪問控制列表AccessControlListForServices04Cockpit駕駛艙管理工具CockpitCockpitManagementTool05前言0301保障數據的安全性是繼保障數據的可用性之后最為重要的一項工作。防火墻作為公網與內網之間的保護屏障，在保障數據的安全性方面起著至關重要的作用。02分別使用iptables、firewall-cmd、firewall-config和TCPWrapper等防火墻策略配置服務來完成數十個根據真實工作需求而設計的防火墻策略配置實驗。03在學習完這些實驗之后，不僅能夠熟練地過濾請求的流量、基于服務程序的名稱對流量進行允許和拒絕操作，還可以使用Cockpit輕松監控系統的運行狀態，確保Linux系統的安全性萬無一失。防火墻管理工具FirewallManagementToolsPARTONE防火墻管理工具0501在公網與企業內網之間充當保護屏障的防火墻雖然有軟件或硬件之分，但主要功能都是依據策略對穿越防火墻自身的流量進行過濾。02防火墻策略可以基于流量的源目地址、端口號、協議、應用等信息來定制，然后防火墻使用預先定制的策略規則監控出入的流量，若流量與某一條策略規則相匹配，則執行相應的處理，反之則丟棄。03從RHEL7系統開始，firewalld防火墻正式取代了iptables防火墻。iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具。04iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理，而firewalld服務則是把配置好的防火墻策略交由內核層面的nftables包過濾框架來處理。防火墻作為公網與內網之間的保護屏障公網內網iptablesPARTTWOIptables—策略與規則鏈0701防火墻會按照從上到下的順序來讀取配置的策略規則，在找到匹配項后就立即結束匹配工作并去執行匹配項中定義的行為（即放行或阻止）。02如果在讀取完所有的策略規則之后沒有匹配項，就去執行默認的策略。一般而言，防火墻策略規則的設置有兩種：“通”（即放行）和“堵”（即阻止）。03當防火墻的默認策略為拒絕時（堵），就要設置允許規則（通），否則誰都進不來；如果防火墻的默認策略為允許，就要設置拒絕規則，否則誰都能進來，防火墻也就失去了防范的作用。Iptables—策略與規則鏈08在進行路由選擇前處理數據包（PREROUTING）；1規則鏈分類處理流出的數據包（OUTPUT）；3處理轉發的數據包（FORWARD）；4在進行路由選擇后處理數據包（POSTROUTING）。5處理流入的數據包（INPUT）；2Iptables—基本的命令參數0901根據OSI七層模型的定義，iptables屬于數據鏈路層的服務，所以可以根據流量的源地址、目的地址、傳輸協議、服務類型等信息進行匹配；02一旦匹配成功，iptables就會根據策略規則所預設的動作來處理這些流量。參數作用-P設置默認策略-F清空規則鏈-L查看規則鏈-A在規則鏈的末尾加入新規則-Inum在規則鏈的頭部加入新規則-Dnum刪除某一條規則-s匹配來源地址IP/MASK，加嘆號“!”表示除這個IP外-d匹配目標地址-i網卡名稱匹配從這塊網卡流入的數據-o網卡名稱匹配從這塊網卡流出的數據-p匹配協議，如TCP、UDP、ICMP--dportnum匹配目標端口號--sportnum匹配來源端口號iptables中常用的參數以及作用Iptables—基本的命令參數10實驗1在iptables命令后添加-L參數查看已有的防火墻規則鏈。實驗2在iptables命令后添加-F參數清空已有的防火墻規則鏈。實驗3把INPUT規則鏈的默認策略設置為拒絕。實驗4向INPUT鏈中添加允許ICMP流量進入的策略規則。實驗Iptables—基本的命令參數11實驗5刪除INPUT規則鏈中剛剛加入的那條策略（允許ICMP流量），并把默認策略設置為允許。實驗9向INPUT規則鏈中添加拒絕所有主機訪問本機1000～1024端口的策略規則。實驗8向INPUT規則鏈中添加拒絕主機訪問本機80端口（Web服務）的策略規則。實驗6將INPUT規則鏈設置為只允許指定網段的主機訪問本機的22端口，拒絕來自其他所有主機的流量。實驗7向INPUT規則鏈中添加拒絕所有人訪問本機12345端口的策略規則。實驗firewalldPARTTHREEfirewalld1301firewalld（DynamicFirewallManagerofLinuxsystems，Linux系統的動態防火墻管理器）服務是默認的防火墻配置管理工具，它擁有基于CLI（命令行界面）和基于GUI（圖形用戶界面）的兩種管理方式。02相較于傳統的防火墻管理配置工具，firewalld支持動態更新技術并加入了區域（zone）的概念。03在以往，我們需要頻繁地手動設置防火墻策略規則，而現在只需要預設好區域集合，然后輕點鼠標就可以自動切換了，從而極大地提升了防火墻策略的應用效率。firewalld中常用的區域名稱及策略規則14區域默認規則策略trusted允許所有的數據包home拒絕流入的流量，除非與流出的流量相關；而如果流量與ssh、mdns、ipp-client、smba-client、dhcpv6-client服務相關，則允許流量internal等同于home區域work拒絕流入的流量，除非與流出的流量相關；而如果流量與ssh、ipp-client與dhcpv6-client服務相關，則允許流量public拒絕流入的流量，除非與流出的流量相關；而如果流量與ssh、dhcpv6-client服務相關，則允許流量external拒絕流入的流量，除非與流出的流量相關；而如果流量與ssh服務相關，則允許流量dmz拒絕流入的流量，除非與流出的流量相關；而如果流量與ssh服務相關，則允許流量block拒絕流入的流量，除非與流出的流量相關drop拒絕流入的流量，除非與流出的流量相關終端管理工具15參數作用--get-default-zone查詢默認的區域名稱--set-default-zone=<區域名稱>設置默認的區域，使其永久生效--get-zones顯示可用的區域--get-services顯示預先定義的服務--get-active-zones顯示當前正在使用的區域與網卡名稱--add-source=將源自此IP或子網的流量導向指定的區域--remove-source=不再將源自此IP或子網的流量導向某個指定區域--add-interface=<網卡名稱>將源自該網卡的所有流量都導向某個指定區域--change-interface=<網卡名稱>將某個網卡與區域進行關聯--list-all顯示當前區域的網卡配置參數、資源、端口以及服務等信息--list-all-zones顯示所有區域的網卡配置參數、資源、端口以及服務等信息--add-service=<服務名>設置默認區域允許該服務的流量--add-port=<端口號/協議>設置默認區域允許該端口的流量--remove-service=<服務名>設置默認區域不再允許該服務的流量--remove-port=<端口號/協議>設置默認區域不再允許該端口的流量--reload讓“永久生效”的配置規則立即生效，并覆蓋當前的配置規則--panic-on開啟應急狀況模式--panic-off關閉應急狀況模式firewall-cmd命令中使用的參數以及作用終端管理工具16實驗1查看firewalld服務當前所使用的區域。實驗5啟動和關閉firewalld防火墻服務的應急狀況模式。實驗4把firewalld服務的默認區域設置為public。實驗2查詢指定網卡在firewalld服務中綁定的區域。實驗3把網卡默認區域修改為external，并在系統重啟后生效。實驗終端管理工具17實驗10把原本訪問本機888端口的流量轉發到22端口，要且求當前和長期均有效。實驗9把訪問8080和8081端口的流量策略設置為允許，但僅限當前生效。實驗8把HTTP協議的流量設置為永久拒絕，并立即生效。實驗6查詢SSH和HTTPS協議的流量是否允許放行。實驗7把HTTPS協議的流量設置為永久允許放行，并立即生效。實驗11富規則的設置。它的優先級在所有的防火墻策略中也是最高的。圖形管理工具—配置軟件倉庫18將虛擬機的“CD/DVD（SATA）”光盤選項設置為“使用ISO映像文件”，然后選擇已經下載好的系統鏡像。首先把光盤設備中的系統鏡像掛載到/media/cdrom目錄。為了能夠讓軟件倉庫一直為用戶提供服務，更加嚴謹的做法是將系統鏡像文件的掛載信息寫入到/etc/fstab文件中，以保證萬無一失。然后使用Vim文本編輯器創建軟件倉庫的配置文件。與之前版本的系統不同，RHEL8需要配置兩個軟件倉庫（即[BaseOS]與[AppStream]），且缺一不可。最后將虛擬機的光盤設備指向ISO鏡像firewall-config工具的具體功能191：選擇運行時（Runtime）或永久（Permanent）模式的配置。2：可選的策略集合區域列表。3：常用的系統服務列表。4：主機地址的黑白名單。5：當前正在使用的區域。6：管理當前被選中區域中的服務。7：管理當前被選中區域中的端口。8：設置允許被訪問的協議。9：設置允許被訪問的端口。10：開啟或關閉SNAT（源網絡地址轉換）技術。11：設置端口轉發策略。12：控制請求icmp服務的流量。13：管理防火墻的富規則。14：被選中區域的服務，若勾選了相應服務前面的復選框，則表示允許與之相關的流量。15：firewall-config工具的運行狀態。動手實踐環節20允許放行請求http服務的流量放行訪問8080～8088端口的流量firewall-config的圖形界面動手實踐環節21開啟防火墻的SNAT技術配置本地的端口轉發讓配置的防火墻策略規則立即生效動手實踐環節22配置防火墻富規則策略把網卡與防火墻策略區域進行綁定讓防火墻策略規則立即生效動手實踐環節23網卡與策略區域綁定完成沒有使用SNAT技術的網絡使用SNAT技術處理過的網絡服務的訪問控制列表AccessControlListForServicesPARTFOURTCPWrapper服務的控制列表文件中常用的參數25客戶端類型示例滿足示例的客戶端列表單一主機0IP地址為0的主機指定網段192.168.10.IP段為/24的主機指定網段/IP段為/24的主機指定DNS后綴.所有DNS后綴為.的主機指定主機名稱主機名稱為的主機指定所有客戶端ALL所有主機全部包括在內在配置TCPWrapper服務時需要遵循兩個原則26編寫拒絕策略規則時，填寫的是服務名稱，而非協議名稱；1兩個原則建議先編寫拒絕策略規則，再編寫允許策略規則，以便直觀地看到相應的效果。2Cockpit駕駛艙管理工具CockpitCockpitManagementToolPARTFIVECockpit駕駛艙管理工具28Cockpit是一個英文單詞，即“（飛機、船或賽車的）駕駛艙、駕駛座”，它用名字傳達出了功能豐富的特性。Cockpit是一個基于Web的圖形化服務管理工具，即便是新手也可以輕松上手。它天然具備很好的跨平臺性，因此被廣泛應用于服務器、容器、虛擬機等多種管理場景。最后，紅帽公司對Cockpit也十分看重，直接將它默認安裝到了RHEL8系統中，由此衍生的CentOS和Fedora也都標配有Cockpit。概念駕駛艙示意圖Cockpit駕駛艙管理工具29確認信任本地證書輸入登錄賬號與系統密碼添加額外允許的證書Cockpit駕駛艙管理工具30Logs界面Storage界面System界面Cockpit駕駛艙管理工具31Accounts界面用戶管理界面Networking界面Cockpit駕駛艙管理工具32服務管理界面Applications界面Services界面Cockpit駕駛艙管理工具33報告生成完畢KernelDump界面DiagnosticReport界面Cockpit駕駛艙管理工具34SoftwareUpdates界面Subscriptions界面SElinux界面Cockpit駕駛艙管理工具35Terminal界面復習題361．在RHEL8系統中，iptables是否已經被firewalld服務徹底取代？答：沒有，iptables和firewalld服務均可用于RHEL8系統。2．請簡述防火墻策略規則中DROP和REJECT的不同之處。答：DROP的動作是丟包，不響應；REJECT是拒絕請求，同時向發送方回送拒絕信息。3．如何把iptables服務的INPUT規則鏈默認策略設置為DROP？答：執行命令iptables-PINPUTDROP即可。4．