《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux版（第4版）》配置與管理防火墻和SELinux某高校組建了校園網(wǎng)，并且架設(shè)了Web、FTP、DNS、DHCP、Mail等服務(wù)器為校園網(wǎng)用戶提供服務(wù)，現(xiàn)有如下問(wèn)題需要解決：（1）需要架設(shè)防火墻以實(shí)現(xiàn)校園網(wǎng)安全。（2）需要將子網(wǎng)連接在一起構(gòu)成整個(gè)校園網(wǎng)。（3）需要轉(zhuǎn)換網(wǎng)絡(luò)地址，使校園網(wǎng)中的用戶能夠訪問(wèn)互聯(lián)網(wǎng)。該項(xiàng)目由Linux的防火墻firewall來(lái)完成，通過(guò)該角色部署防火墻firewall和NAT實(shí)現(xiàn)上述功能。項(xiàng)目概況項(xiàng)目概況及目標(biāo)項(xiàng)目目標(biāo)●了解防火墻的分類及工作原理●了解NAT●掌握f(shuō)irewalld防火墻的配置●掌握服務(wù)的訪問(wèn)控制列表●掌握利用firewall實(shí)現(xiàn)NAT思政提示●明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范和精神，樹(shù)立社會(huì)主義核心價(jià)值觀。●“大學(xué)之道,在明明德，在親民，在止于至善。”“高山仰止，景行行止。雖不能至，然心向往之”。主要內(nèi)容CONTENTS防火墻、NAT和SELinux概述01使用firewalld服務(wù)020304NAT實(shí)踐應(yīng)用設(shè)置SELinux模式防火墻、NAT和SELinux概述0101防火墻、NAT和SELinux概述通常所說(shuō)的網(wǎng)絡(luò)防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，使內(nèi)部局域網(wǎng)與Internet之間或者與其它外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻大致可以分為三類，分別是“包過(guò)濾”、“應(yīng)用代理”和“狀態(tài)檢測(cè)”。采用ipfwadm作為防火墻，但在2.2.0核心中被ipchains取代。firewalld防火墻取代了iptables防火墻。早期LinuxRHEL8netfilter/iptables信息包過(guò)濾系統(tǒng)正式使用。2.4版本發(fā)布后1.1防火墻（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務(wù)器和負(fù)載均衡。（4）實(shí)現(xiàn)透明代理。NAT分類源NAT（SNAT）：修改第一個(gè)包的源IP地址。目的NAT（DNAT）：修改第一個(gè)包的目的IP地址。01防火墻、NAT和SELinux概述1.2NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換器）NAT工作過(guò)程安全增強(qiáng)型Linux（Security-EnhancedLinux，SELinux）是美國(guó)國(guó)家安全局（NationalSecurityAgency，NSA）對(duì)于強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn)，是Linux歷史上最杰出的新安全子系統(tǒng)。

2.6及以上版本的Linux內(nèi)核都集成了SELinux模塊。DAC（DiscretionaryAccessControl）自主訪問(wèn)控制：一個(gè)軟件或守護(hù)進(jìn)程以UserID（UID）或SetownerUserID（SUID）的身份運(yùn)行，并且擁有該用戶的目標(biāo)（文件、套接字、以及其它進(jìn)程）權(quán)限。MAC（MandatoryAccessControl，MAC）強(qiáng)制訪問(wèn)控制：需要判斷每一類進(jìn)程是否擁有對(duì)某一類資源的訪問(wèn)權(quán)限。01防火墻、NAT和SELinux概述1.3SELinux模式Mode主體Subjects模式Mode策略Policy本項(xiàng)目在安裝有企業(yè)版Linux網(wǎng)絡(luò)操作系統(tǒng)的服務(wù)器Server01和Server02上配置firewall和NAT，應(yīng)滿足下列需求：（1）安裝好企業(yè)版Linux網(wǎng)絡(luò)操作系統(tǒng)，保證常用服務(wù)正常工作?？蛻舳耸褂肔inux或Windows網(wǎng)絡(luò)操作系統(tǒng)。服務(wù)器和客戶端能夠通過(guò)網(wǎng)絡(luò)進(jìn)行通信。（2）也可利用虛擬機(jī)設(shè)置網(wǎng)絡(luò)環(huán)境。（3）3臺(tái)安裝好RHEL8的計(jì)算機(jī)。項(xiàng)目準(zhǔn)備項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目目標(biāo)（1）安裝與配置firewall。（2）配置SNAT和DNAT。使用firewalld服務(wù)02firewall-cmd是firewalld防火墻配置管理工具的CLI（命令行界面）版本。使用firewalld配置的防火墻策略默認(rèn)為運(yùn)行時(shí)（Runtime）模式，又稱為當(dāng)前生效模式，且系統(tǒng)重啟后會(huì)失效。如果想讓配置策略一直存在，就需要使用永久（Permanent）模式，方法就是在用firewall-cmd命令正常設(shè)置防火墻策略時(shí)添加--permanent參數(shù)。1.使用終端管理工具firewall-config是firewalld防火墻配置管理工具的GUI（圖形用戶界面）版本。（1）安裝firewall-config[root@Server01~]#dnfinstallfirewall-config–y（2）啟動(dòng)圖形界面的firewall在終端中輸入命令：firewall-config或者單擊“活動(dòng)”→“防火墻”命令2.使用圖形管理工具02使用firewalld服務(wù)設(shè)置SELinux模式0303設(shè)置SELinux模式●/etc/selinux/config和/etc/sysconfig/selinux：主要用于打開(kāi)和關(guān)閉SELinux。●/etc/selinux/targeted/contexts：主要用于對(duì)contexts的配置，contexts是SELinux的安全上下文?！?etc/selinux/targeted/policy：SELinux策略文件。Enforcing（強(qiáng)制）：SELinux策略強(qiáng)制執(zhí)行，基于SELinux策略規(guī)則授予或拒絕主體對(duì)目標(biāo)的訪問(wèn)權(quán)限。Disabled（禁用）：完全禁用SELinux，使SELinux不起作用。Permissive（寬容）：SELinux策略不強(qiáng)制執(zhí)行，沒(méi)有實(shí)際拒絕訪問(wèn)，但會(huì)有拒絕信息寫(xiě)入日志文件/var/log/messages。1.使用配置文件設(shè)置SELinux模式[root@Server01~]#getenforce #檢查當(dāng)前SELinux的運(yùn)行狀態(tài)[root@Server01~]#setenforce1

#1代表強(qiáng)制模式（Enforcing）[root@Server01~]#setenforce0#0代表寬容模式（Permissive）2.使用命令行命令設(shè)置SELinux模式NAT實(shí)踐應(yīng)用04內(nèi)部主機(jī)使用/24網(wǎng)段的IP地址，并且使用Linux主機(jī)作為服務(wù)器連接互聯(lián)網(wǎng)，外網(wǎng)地址為固定地址12?，F(xiàn)需要滿足如下要求：（1）配置SNAT保證內(nèi)網(wǎng)用戶能夠正常訪問(wèn)Internet。（2）配置DNAT保證外網(wǎng)用戶能夠正常訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器。項(xiàng)目需求04NAT實(shí)踐應(yīng)用主機(jī)名稱操作系統(tǒng)IP地址角

色內(nèi)網(wǎng)NAT客戶端Server01RHEL8IP：（VMnet1）默認(rèn)網(wǎng)關(guān)：0Web服務(wù)器firewall防火墻防火墻Server02RHEL8IP1:0（VMnet1）IP2:12（VMnet8）FirewallSNAT、DNAT外網(wǎng)NAT客戶端Client1RHEL813（VMnet8）Web服務(wù)器firewall防火墻（1）在Server02上安裝雙網(wǎng)卡。（2）配置Server01和Client1的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。（3）在Server02上將接口ens224加入到外部網(wǎng)絡(luò)區(qū)域（external）（4）將外部區(qū)域的偽裝打開(kāi)（Server02）（5）在Server02上配置內(nèi)部接口ens160（6）在外網(wǎng)Client1上配置供測(cè)試的Web（7）在內(nèi)網(wǎng)Server01上測(cè)試SNAT配置是否成功（1）在Server01上配置內(nèi)網(wǎng)Web及防火墻（2）在Server02上配置DNAT（3）在外網(wǎng)Client1上測(cè)試04NAT實(shí)踐應(yīng)用解決方案1.配置SNAT2.配置DNAT操作實(shí)踐：配置與管理firewall防火墻（項(xiàng)目實(shí)錄3-01）1.防火墻概述；2.Iptables與firewalld；3.NAT基礎(chǔ)知識(shí)；4.SELinux。知識(shí)儲(chǔ)備本章小結(jié)技能考核1.使用firewalld服務(wù)；2.設(shè)置SELinux模式；3.NAT實(shí)踐應(yīng)用。學(xué)習(xí)讓生活更美好感謝觀看配置與管理防火墻和SELinux《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux版（第4版）》重要說(shuō)明訂購(gòu)