RHEL7版-项目07 网络配置与Firewalld防火墙的管理.pptxVIP

“十二五”职业教育国家规划教材Red Hat Enterprise Linux 7.3（RHEL 7.3）;项目7 网络配置与Firewalld防火墙的管理;德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成, 并通过租用电信400MB光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下三个方面实施网络配置: 网络主机(终端节点)的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。 网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。 网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。;7.2 项目知识准备;2.网络配置的主要对象——网络接口与网络连接 网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。 从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。 网络接口的名称的前两个字符为网络类型符号。如: en——示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如: oindex——表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号; sslot——表示是插在可以热拔插的插槽上的独立设备及索引号; xMAC——表示基于MAC地址命名的设备; pbus——表示PCI插槽的物理位置及编号。 网络连接则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。 ;7.2.2 认识防火墙;2. 防火墙的功能 ①过滤进出网络的数据包,封堵某些禁止的访问行为 ②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。 ③对网络攻击进行检测和告警。 防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。 ④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。;3. 防火墙的类型 1）按采用的技术划分 ①包过滤型防火墙——在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素，来决定是否允许该数据包通过。（包的大小1500字节） ②代理服务器型防火墙——是运行在防火墙之上的一种应用层服务器程序，它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。;2）按实现的环境划分 ①软件防火墙：学校、上前台电脑的网吧 普通计算机+通用的操作系统（如：linux） ②硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如： NetScreen、FortiNet ） 通常有三个以上网卡接口 外网接口：用于连接Internet网； 内网接口：用于连接代理服务器或内部网络； DMZ接口（非军事化区）：专用于连接提供服务的服务器群。;7.2.3 Linux防火墙历史演进与架构;2．Linux防火墙的架构 Linux防火墙系统由以下三层架构的三个子系统组成: ①内核层的netfilter： netfilter是集成在内核中的一部分 作用是定义、保存相应的过滤规则。 提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。 netfilter是表的容器，表是链的容器，而链又是规则的容器。 表→链→规则的分层结构来组织规则 ②中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的netfilter来读取,从而调整防火墙规则。 ③用户层工具:是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。;表→链→规则的结构来组织规则;7.2.4