03 配置與管理防火墻和SELinux

《網(wǎng)絡服務器搭建、配置與管理——Linux版（第4版）》配置與管理防火墻和SELinux某高校組建了校園網(wǎng)，并且架設了Web、FTP、DNS、DHCP、Mail等服務器為校園網(wǎng)用戶提供服務，現(xiàn)有如下問題需要解決：（1）需要架設防火墻以實現(xiàn)校園網(wǎng)安全。（2）需要將子網(wǎng)連接在一起構(gòu)成整個校園網(wǎng)。（3）需要轉(zhuǎn)換網(wǎng)絡地址，使校園網(wǎng)中的用戶能夠訪問互聯(lián)網(wǎng)。該項目由Linux的防火墻firewall來完成，通過該角色部署防火墻firewall和NAT實現(xiàn)上述功能。項目概況項目概況及目標項目目標●了解防火墻的分類及工作原理●了解NAT●掌握firewalld防火墻的配置●掌握服務的訪問控制列表●掌握利用firewall實現(xiàn)NAT思政提示●明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范和精神，樹立社會主義核心價值觀?！瘛按髮W之道,在明明德，在親民，在止于至善?！薄案呱窖鲋?，景行行止。雖不能至，然心向往之”。主要內(nèi)容CONTENTS防火墻、NAT和SELinux概述01使用firewalld服務020304NAT實踐應用設置SELinux模式防火墻、NAT和SELinux概述0101防火墻、NAT和SELinux概述通常所說的網(wǎng)絡防火墻是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，使內(nèi)部局域網(wǎng)與Internet之間或者與其它外部網(wǎng)絡間互相隔離、限制網(wǎng)絡互訪，以此來保護內(nèi)部網(wǎng)絡。防火墻大致可以分為三類，分別是“包過濾”、“應用代理”和“狀態(tài)檢測”。采用ipfwadm作為防火墻，但在2.2.0核心中被ipchains取代。firewalld防火墻取代了iptables防火墻。早期LinuxRHEL8netfilter/iptables信息包過濾系統(tǒng)正式使用。2.4版本發(fā)布后1.1防火墻（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務器和負載均衡。（4）實現(xiàn)透明代理。NAT分類源NAT（SNAT）：修改第一個包的源IP地址。目的NAT（DNAT）：修改第一個包的目的IP地址。01防火墻、NAT和SELinux概述1.2NAT（網(wǎng)絡地址轉(zhuǎn)換器）NAT工作過程安全增強型Linux（Security-EnhancedLinux，SELinux）是美國國家安全局（NationalSecurityAgency，NSA）對于強制訪問控制的實現(xiàn)，是Linux歷史上最杰出的新安全子系統(tǒng)。

2.6及以上版本的Linux內(nèi)核都集成了SELinux模塊。DAC（DiscretionaryAccessControl）自主訪問控制：一個軟件或守護進程以UserID（UID）或SetownerUserID（SUID）的身份運行，并且擁有該用戶的目標（文件、套接字、以及其它進程）權(quán)限。MAC（MandatoryAccessControl，MAC）強制訪問控制：需要判斷每一類進程是否擁有對某一類資源的訪問權(quán)限。01防火墻、NAT和SELinux概述1.3SELinux模式Mode主體Subjects模式Mode策略Policy本項目在安裝有企業(yè)版Linux網(wǎng)絡操作系統(tǒng)的服務器Server01和Server02上配置firewall和NAT，應滿足下列需求：（1）安裝好企業(yè)版Linux網(wǎng)絡操作系統(tǒng)，保證常用服務正常工作?？蛻舳耸褂肔inux或Windows網(wǎng)絡操作系統(tǒng)。服務器和客戶端能夠通過網(wǎng)絡進行通信。（2）也可利用虛擬機設置網(wǎng)絡環(huán)境。（3）3臺安裝好RHEL8的計算機。項目準備項目設計及準備項目目標（1）安裝與配置firewall。（2）配置SNAT和DNAT。使用firewalld服務02firewall-cmd是firewalld防火墻配置管理工具的CLI（命令行界面）版本。使用firewalld配置的防火墻策略默認為運行時（Runtime）模式，又稱為當前生效模式，且系統(tǒng)重啟后會失效。如果想讓配置策略一直存在，就需要使用永久（Permanent）模式，方法就是在用firewall-cmd命令正常設置防火墻策略時添加--permanent參數(shù)。1.使用終端管理工具firewall-config是firewalld防火墻配置管理工具的GUI（圖形用戶界面）版本。（1）安裝firewall-config[root@Server01~]#dnfinstallfirewall-config–y（2）啟動圖形界面的firewall在終端中輸入命令：firewall-config或者單擊“活動”→“防火墻”命令2.使用圖形管理工具02使用firewalld服務設置SELinux模式0303設置SELinux模式●/etc/selinux/config和/etc/sysconfig/selinux：主要用于打開和關(guān)閉SELinux?！?etc/selinux/targeted/contexts：主要用于對contexts的配置，contexts是SELinux的安全上下文?！?etc/selinux/targeted/policy：SELinux策略文件。Enforcing（強制）：SELinux策略強制執(zhí)行，基于SELinux策略規(guī)則授予或拒絕主體對目標的訪問權(quán)限。Disabled（禁用）：完全禁用SELinux，使SELinux不起作用。Permissive（寬容）：SELinux策略不強制執(zhí)行，沒有實際拒絕訪問，但會有拒絕信息寫入日志文件/var/log/messages。1.使用配置文件設置SELinux模式[root@Server01~]#getenforce #檢查當前SELinux的運行狀態(tài)[root@Server01~]#setenforce1

#1代表強制模式（Enforcing）[root@Server01~]#setenforce0#0代表寬容模式（Permissive）2.使用命令行命令設置SELinux模式NAT實踐應用04內(nèi)部主機使用/24網(wǎng)段的IP地址，并且使用Linux主機作為服務器連接互聯(lián)網(wǎng)，外網(wǎng)地址為固定地址12。現(xiàn)需要滿足如下要求：（1）配置SNAT保證內(nèi)網(wǎng)用戶能夠正常訪問Internet。（2）配置DNAT保證外網(wǎng)用戶能夠正常訪問內(nèi)網(wǎng)的Web服務器。項目需求04NAT實踐應用主機名稱操作系統(tǒng)IP地址角

色內(nèi)網(wǎng)NAT客戶端Server01RHEL8IP：（VMnet1）默認網(wǎng)關(guān)：0Web服務器firewall防火墻防火墻Server02RHEL8IP1:0（VMnet1）IP2:12（VMnet8）FirewallSNAT、DNAT外網(wǎng)NAT客戶端Client1RHEL813（VMnet8）Web服務器firewall防火墻（1）在Server02上安裝雙網(wǎng)卡。（2）配置Server01和Client1的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。（3）在Server02上將接口ens224加入到外部網(wǎng)絡區(qū)域（external）（4）將外部區(qū)域的偽裝打開（Server02）（5）在Server02上配置內(nèi)部接口ens160（6）在外網(wǎng)Client1上配置供測試的Web（7）在內(nèi)網(wǎng)Server01上測試SNAT配置是否成功（1）在Server01上配置內(nèi)網(wǎng)Web及防火墻（2）在Server02上配置DNAT（3）在外網(wǎng)Client1上測試04NAT實踐應用解決方案1.配置SNAT2.配置DNAT操作實踐：配置與管理firewall防火墻（項目實錄3-01）1.防火墻概述；2.Iptables與firewalld；3.NAT基礎(chǔ)知識；4.SELinux。知識儲備本章小結(jié)技能考核1.使用firewalld服務；2.設置SELinux模式；3.NAT實踐應用。學習讓生活更美好感謝觀看配置與管理防火墻和SELinux《網(wǎng)絡服務器搭建、配置與管理——Linux版（第4版）》重要說明訂購