M4-5 使用防火墙模块提升服务器的安全防御.ppt

《网络安全运行与维护》 模块四 Linux服务器系统安全管理与维护 DHCP DNSWeb FTPCA服务器群集邮件服务 DDN Internet 北京总部 长春分公司 VPN 网管工作站 重庆分公司 DHCP WEB WEB FTP DNS BDNS 总体概述 加强Linux系统的DNS服务的安全防御能力 加固Linux系统的DHCP服务安全防御能力 提升Linux系统的WEB服务的安全防御能力 提高Linux系统的FTP服务安全访问及安全防御能力 使用Linux防火墙模块提升服务器的安全防御能力 能力单元5 使用防火墙模块提升服务器的安全防御 任务描述 任务描述 在企业中的各种服务器进行了安全配置后，对于服务器本的所提供的服务来说已经相当的安全。但对于服务器本身来说还需要进行一些安全的配置，对于Linux操作系统来说，其系统本身提供Iptables一个安全的模块，也就是防火墙模块。 Linux不但可以利用iptables模块对本机的服务提供安全保护，而且还可以充当网关对局域网内部用户和服务进行安全防护。可以通过两种方式进行安全配置： 利用防火墙模块保护服务器服务 利用防火墙模块架设安全防火墙 任务分析 任务分析 在网络中服务器使用防火墙模块进行安全配置： 使用防火墙模块对服务器群中的DNS服务器进行安全防护 使用防火墙模块对服务器群中的DHCP服务进行安全防护 使用防火墙模块对服务器群中的WEB服务器进行安全防护 使用防火墙模块对服务器群中的FTP服务器进行安全防护 使用防火墙模块架设安全防火墙，保护内网用户和服务。 相关知识 相关知识 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。 netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。 netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序。 任务实施——拓扑结构 拓扑结构 任务实施——实施步骤 实施步骤 〖步骤1〗利用防火墙模块保护服务器服务 第一步：使用防火墙模块对服务器群中的DNS服务器进行安全防护 允许DNS查询（以客户端身份） [root@lab ~]# iptables -A OUTPUT -p udp --dport 53 -j ACCEPT [root@lab ~]# iptables -A INPUT -p udp --sport 53 -j ACCEPT 允许DNS查询（服务器身份） [root@lab ~]# iptables -A INPUT -p udp --dport 53 -j ACCEPT [root@lab ~]# iptables -A OUTPUT -p udp --sport 53 -j ACCEPT 区域复制 [root@lab~]# iptables -A INPUT -p tcp -s 2 -d 1 --dport 53 -j ACCEPT [root@lab~]# iptables -A OUTPUT -p tcp -s 1 -d 2 --sport 53 -j ACCEPT 任务实施——实施步骤(cont.) 实施步骤 允许回环地址 [root@lab ~]# iptables -A INPUT -s -d -j ACCEPT [root@lab ~]# ^IN^OUT iptables -A OUTPUT -s -d -j ACCEPT 配置防火墙日志： [root@lab ~]# touch /var/log/firewall.log [root@lab ~]# vi /etc/syslog.conf Kern.=notice /var/log/firewall.log [root@lab ~]# service syslog restart [root@lab ~]# iptables -I INPUT 1 -p udp --dport 53 -j LOG --log-level 5 --log-prefix DNS-Iptables： [root@lab ~]# tail －f /var/log/firewall.log 任务实施——实施步骤(cont.) 实施步骤 第二步：使用防火墙模块对服务器群中的WEB服务器进行安全防护 [root@lab ~]# iptables -A INP