3.7.1_防火墙配置_-_防火墙基本配置.pptx

项目七防火墙配置任务3.7.1防火墙基本配置广西职业技术学院陆晓玲

任务背景项目任务描述：某公司局域网内部署有web服务器、FTP服务器和DNS服务器，为了保障服务器的安全，各服务器必须启用防火墙，需要管理员配置防火墙，同时不影响服务器相关业务服务的使用。

任务背景知识目标了解Linux防火墙的基本概念和功能了解Linux防火墙的分类理解firewalld中的区域能力目标掌握firewalld防火墙启动、关闭等掌握区域常用服务、端口规则的配置掌握服务器主机防火墙的配置素养目标培养网络安全意识培养严谨细致的工作态度培养规范的工作意识

1.认识防火墙防火墙是指一种将内部网和外部网分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。

2.防火墙的功能（1）网络安全的屏障（2）强化网络安全策略（3）监控审计（4）防止内部信息的外泄（5）日志记录与事件通知

3.防火墙的分类（1）包过滤型防火墙（2）应用代理类型防火墙（3）复合型防火墙

4.firewalldCentOS7系统中的防火墙是包过滤型防火墙，提供了iptables、firewalld两种防火墙。firewalld可以实现iptables,ip6tables,ebtables的功能。firewalld提供支持网络/防火墙区域（zone）定义网络链接以及接口安全等级的动态防火墙管理工具。支持IPv4，IPv6的防火墙设置以及以太网桥接。支持服务或者应用程序直接添加防火墙规则的接口。

5.firewalld区域firewalld预定义了9种区域zone区域默认策略规则trusted信任区域允许所有的传入流量。public公共区域允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。internal内部区域允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。work工作区域允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝home家庭区域允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。external外部区域允许与ssh预定义服务匹配的传入流量其余均拒绝。dmz隔离区域（非军事区域）允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝block限制区域拒绝所有传入流量。drop丢弃区域丢弃所有传入流量，并且不产生包含icmp的错误响应

6.firewalld服务的基本管理开启：systemctlstartfirewalld关闭：systemctlstopfirewalld重启：systemctlrestartfirewalld开机自启：systemctlenablefirewalld关闭开机自启：systemctldisablefirewalld服务状态：systemctlstatusfirewalld

7.firewalld区域管理区域管理使用firewall-cmd命令，指定绑定区域的网络接口。常用命令说明firewall-cmd--list-all-zones显示所有的区域及其规则firewall-cmd--list-all显示默认区域及其规则firewall-cmd--set-default-zone=dmz设置默认区域dmzfirewall-cmd--zone=dmz--add-interface=ens33指定dmz区域绑定的网络接口为ens33firewall-cmd--zone=dmz--change-interface=ens37更改dmz区域绑定的网络接口为ens37firewall-cmd--zone=dmz--remove-interface=ens37解除dmz区域绑定的网络接口为ens37

8.firewalld区域中服务的管理常用命令说明firewall-cmd--zone=public--list-services显示public区域允许访问的所有服务firewall-cmd--zone=public-