《Linux服务器配置与管理》课件项目10 防火墙配置与管理.pptxVIP

【项目描述】为了保证公司服务器的安全，需要在公司服务器上安装和运行防火墙。本项目中我们来完成防火墙的配置与管理任务。

【学习目标】（1）了解防火墙的工作原理。（2）掌握Linux防火墙的基本架构。（3）掌握Firewalld的基本配置。

预备知识认识防火墙

1.什么是防火墙防火墙（Firewall），是位于两个(或多个)网络之间，实施网络之间访问控制的一组组件集合，是目前最重要的一种网络防护设备。防火墙这个名字是借鉴了古代真正用于防火的防火墙的喻义，是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

1.什么是防火墙防火墙通常具有以下三个特点：（1）位置特点：内部网络和外部网络之间的所有网络数据流都必须经过防火墙。只有当防火墙成为内、外网络之间通信的唯一通道，才可以全面、有效地保护企业内部网络不受侵害。（2）功能特点：只有符合安全策略的数据流才能通过防火墙。根据企业的安全策略（允许、拒绝、监测）控制出入网络的信息流，确保网络流量的合法性，并在此前提下将网络流量快速地从一条链路转发到另外的链路上。（3）性能特点：防火墙自身应具有非常强的抗攻击免疫力。防火墙处于网络边缘，就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗攻击的本领。

2.防火墙的种类1）包过滤型防火墙包过滤是最早使用的一种防火墙技术，它的第一代模型是静态包过滤，工作在OSI模型的网络层上，之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤型防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把网络层和传输层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点，比较容易实现。但是其缺点也是很显著的。首先面对大型的、复杂站点，包过滤的规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题，或者外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。

2.防火墙的种类2）应用代理型防火墙应用代理型防火墙，实际上就是一台小型的带有数据检测过滤功能的透明代理服务器。但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析的新技术。应用代理型防火墙能够对各层的数据进行主动的、实时的监测，能够有效地判断出各层中的非法侵入。同时，这种防火墙一般还带有分布式探测器，能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。应用代理型防火墙基于代理技术，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象。应用代理型防火墙是以牺牲速度为代价换取了比包过滤型防火墙更高的安全性能。

2.防火墙的种类3）状态检测型防火墙这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

3.netfilter和firewalld的基本概念Linux的内核提供的防火墙功能通过netfilter框架实现，并提供iptables、Firewalld等工具配置和修改防火墙的规则。Linux内核包含一个强大的网络过滤子系统filter子系统允许内核模块对遍历系统的每个数据包进行检查。这表示在任何传入、传出或转发的网络数据包到达用户空间中的组件之前，都可以通过编程方式检查、修改、丢弃或拒绝这些数据包。这是在RedHatEnterpriseLinux7计算机上构建防火墙的主要模块。

3.netfilter和firewalld的基本概念尽管系统管理员可以编写自己的内核模块与netfilter交互，但通常大家都不会这么做。取而代之，会使用其他程序来与netfilter交互。这些程序中，最常见和最知名的是iptables。在RedHatEnterpriseLinux7之前的版本中，iptables是与netfilter交互的主要方法。iptables命令是一个低级工具，使用该工具正确管理防火墙可能具有挑战性。此外，它仅能调整IPv4防火墙规则。为保证更完整的