《网络系统安全运行与维护教案》-网络系统安全运行与维护32

郑州铁路职业技术学院教案首页序号：32授课班级信息安全22A1信息安全22A2授课日期6.127.5出勤情况课程名称网络系统安全运行与维护教学类型讲授复习旧课引入新课复习旧课：1、安装IPtables服务2、使用IPtables配置防火墙引入新课：M7-5Linux系统防火墙安装与配置（二）教学目标学生通过该能力模块的学习,能够独立完成和熟练掌握使用防火墙模块实现服务器的安全防御能力。讲授要点教学设计讲授要点：iptables教学设计：回顾上节内容回顾iptables的安装与配置引入本节内容对比windows中防火墙的功能和设置，引入本节内容任务实施分3个实验步骤，完成IPtables的安全配置课堂总结重点难点解决方法重点：iptables难点：iptables解决方法：讲解+上机操作课后作业总结IPtables配置防火墙的步骤课后总结防火墙的配置命令比较长，在输入时应该仔细认真检查。郑州铁路职业技术学院教师教案第32-PAGE15页Linux系统防火墙安装与配置（二）教学过程步骤主要内容教学组织复习复习FTP服务安装与配置过程教师讲授，学生回忆5分钟任务引入在网络中利用Linux操作系统的防火墙模块来保护网络服务，不但可以保护内网和主机的服务，而且还可以利用其NAT规划链实现内网访问互联网。教师讲授5分钟知识讲授iptablesiptables是与最新的2.4.x版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptablesIP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。虽然netfilter/iptablesIP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。netfilter组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用RedHatLinux7.1或更高版本，否则需要下载该工具并安装使用它。Linux内核中有一个功能强大的联网子系统filter子系统提供了有状态的或无状态的分组过滤，还提供了NAT和IP伪装服务。netfilter还具备为高级选路和连接状态管理而变形（mangle）IP头信息的能力。netfilter是通过IPTables工具来控制的。这个命令行工具和它的前身IPChains的语法很相似；不过，IPTables使用netfilter子系统来增进网络连接、检验、和处理方面的能力；IPChains使用错综复杂的规则集合来过滤源地和目的地路线以及两者的连接端口。IPTables只在一个命令行界面中就包括了更先进的记录方式；选路前和选路后的行动；网络地址转换；以及端口转发。那么，如何来使用使用IPTables呢？使用IPTables的第一步是启动IPTables服务。这个可以使用以下命令来进行：serviceiptablesstart特别提醒你应该使用以下命令关闭IP6Tables服务才能正常使用IPTables服务：serviceip6tablesstopchkconfigip6tablesoff另外，如果要使IPTables在系统引导时默认启动，你必须使用chkconfig来改变服务的运行级别状态。chkconfig--level345iptablesonIPTables的语法被分成几个层次。主要层次为“链”（chain）。“链”指定处理分组的状态。其用法为：iptables-Achain-jtarget-A在现存的规则集合内后补一条规则。chain是规则所在“链”的名称。IPTables中有三个内建的链（即影响每一个在网络中经过的分组的链）：INPUT、OUTPUT、和FORWARD。这些链是永久性的，不能被删除。如何设置基本防火墙策略在一开始就建立的某些基本策略为建构更详细的用户定义的规则奠定了基础。IPTables使用策略（policy,-P）来创建默认规则。对安全敏感的管理员通常想采取放弃所有分组、只逐一允许指定分组的策略。以下规则阻塞网络上所有的出入分组。iptables-PINPUTDROPiptables-POUTPUTDROP此外，还推荐你拒绝所有转发分组（forwardedpackets）—要从防火墙被选路发送到它的目标节点的网络交通—以便限制内部客户对互联网的无心暴露。要达到这个目的，使用以下规则：iptables-PFORWARDDROP如何保存和恢复IPTables规则防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导，这些规则就会自动被清除并重设。要保存规则以便今后载入，请使用以下命令：/sbin/serviceiptablessave保存在/etc/sysconfig/iptables文件中的规则会在服务启动或重新启动时（包括机器被重新引导时）被应用。常用iptables过滤把远程攻击者拒之“LAN”外是网络保安的一个重要方面。LAN的完好性应该通过使用严格的防火墙规则来抵御蓄意不良的远程用户而被保护。但是，如果默认策略被设置为阻塞所有进入、输出、和转发的分组，防火墙/网关和内部LAN用户之间的通信就无法进行。要允许用户执行和网络相关的功能以及使用联网应用程序，管理员必须打开某些端口进行通信。例如：要允许到防火墙上的端口80的通信，添加以下规则：iptables-AINPUT-ptcp-mtcp--sport80-jACCEPTiptables-AOUTPUT-ptcp-mtcp--dport80-jACCEPT这会允许用户浏览通过端口80通信的网站。要允许到安全网站（如/）的访问，你还必须打开端口443。iptables-AINPUT-ptcp-mtcp--sport443-jACCEPTiptables-AOUTPUT-ptcp-mtcp--dport443-jACCEPT有时候，你可能会需要从LAN之外远程地进入LAN。SSH和CIPE之类的安全服务可以用于到LAN服务的加密远程连接。对于拥有基于PPP资源（如调制解调器池或批量ISP帐号）的管理员来说，拨号进入可以被用来安全地避开防火墙，因为调制解调器连接是直接连接，通常位于防火墙/网关之后。然而，对于有宽带连接的远程用户来说，你就需要制定些特殊规定。你可以配置IPTables接受来自远程SSH和CIPE客户的连接。例如，要允许远程SSH访问，你可以使用以下规则：iptables-AINPUT-ptcp--dport22-jACCEPTiptables-AOUTPUT-pudp--sport22-jACCEPT来自外部的CIPE连接请求可以使用以下命令来接受（把x替换成你的设备号码）：iptables-AINPUT-pudp-icipcbx-jACCEPTFORWARD和NAT规则多数机构从它们的ISP处得到数量有限的可公开选路的IP地址。鉴于这种限额，管理员必须创建性地积极寻求分享互联网服务的方法，而又不必把稀有的IP地址分配给LAN上的每一台机器。使用专用IP地址是允许LAN上的所有机器正确使用内部和外部网络服务的常用方法。边缘路由器（如防火墙）可以接收来自互联网的进入交通，并把这些分组选路发送它们意图发送的LAN节点上；同时，防火墙/网关还可以把来自LAN节点的输出请求选路发送到远程互联网服务中。这种转发网络交通行为有时会很危险，特别是随着能够假冒内部IP地址、使远程攻击者的机器成为你的LAN上的一个节点的现代攻击工具的出现。为防止此类事件的发生，iptables提供了选路发送和转发策略，你可以实施它们来防止对网络资源的变相利用。FORWARD策略允许管理员控制分组可以被选路发送到LAN内的哪些地方。例如：要允许整个LAN的转发（假定防火墙/网关在eth1上有一个内部IP地址），你可以设置以下规则：iptables-AFORWARD-ieth1-jACCEPTiptables-AFORWARD-oeth1-jACCEPT特别说明在处理添加的规则时，REJECT（拒绝）目标和DROP（放弃）目标这两种行动有所不同。REJECT会拒绝目标分组的进入，并给企图连接服务的用户返回一个connectionrefused的错误消息。DROP会放弃分组，而对telnet用户不发出任何警告；不过，为了避免导致用户由于迷惑不解而不停试图连接的情况的发生，推荐你使用REJECT目标。设置了策略链后，为你的特定网络和安全需要创建新规则。以下各节概述了一些你在建构IPTables防火墙时可能要实现的规则。注记说明按照默认设置，红帽企业Linux内核中的IPv4策略禁用了对IP转发的支持，这会防止运行红帽企业Linux的机器成为专用边缘路由器。要启用IP转发，请运行以下命令：sysctl-wnet.ipv4.ip_forward=1如果该命令是通过shell提示运行的，那么其设置在重新引导后就不会被保存。你可以通过编辑/etc/sysctl.conf文件来永久性地设置转发。寻找并编辑以下行，把0改成1：net.ipv4.ip_forward=0执行以下命令来启用sysctl.conf文件中的改变：sysctl-p/etc/sysctl.conf这会允许LAN节点彼此通信；不过，它们没有被允许和外界（如互联网）通信。要允许带有专用IP地址的LAN节点和外部的公共网络通信，配置防火墙的IP伪装（IPmasquerading），这会把来自LAN节点的请求都伪装成防火墙的外部设备（在这个例子中是eth0）的IP地址。iptables-tnat-APOSTROUTING-oeth0-jMASQUERADEDMZ和iptables你还可以设置一些把交通选路发送到某些机器（如专用HTTP或FTP服务器）的规则，这些机器最好是位于停火区域（de-militarizedzone，DMZ）的和内部网络分开的机器。要设置一条把所有进入的HTTP请求都选路发送到IP地址为、端口为80（LAN/24范围之外）的专用HTTP服务器的规则，网络地址转换（NAT）会调用PREROUTING表来把这些分组转发到恰当的目的地：iptables-tnat-APREROUTING-ieth0-ptcp--dport80-jDNAT\--to-destination:80使用这项命令，所有来自LAN以外的到端口80的HTTP连接都会被选路发送到和内部网络分离的另一个网络上的HTTP服务器上。这种网络分段会比允许到内部网络中的机器上的HTTP连接更安全。如果HTTP服务器被配置接受安全连接，那么端口443也必须被转发。病毒和假冒IP地址你可以更精心设计一些规则来控制到LAN内指定子网的访问，甚至到指定机器的访问。你还可以限制某些类似特洛伊木马、蠕虫、以及其它客户/服务器病毒的可疑服务联系它们的服务器。例如：有些特洛伊木马会扫描端口31337到31340（即黑客语言中的elite端口）上的服务。既然合法服务都不使用这些非标准端口来通信，阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会。iptables-AOUTPUT-oeth0-ptcp--dport31337--sport31337-jDROPiptables-AFORWARD-oeth0-ptcp--dport31337--sport31337-jDROP你还可以阻塞试图假冒你所在LAN的专用IP地址混入的连接。例如：如果你的LAN使用/24范围，面向互联网的网络设备（如eth0）上就可以设置一条规则来放弃到那个设备的使用你所在LAN的IP范围的分组。因为默认策略是拒绝转发分组，所有到面向外界的设备（eth0）的假冒IP地址都会被自动拒绝。iptables-AFORWARD-s/24-ieth0-jDROPIP6Tables下一代互联网协议IPv6的出现突破了IPv4（或IP）的32位地址限制。IPv6支持128位地址，因此识别IPv6的载体网络就能够制定比IPv4更多的可选路地址。红帽企业Linux支持使用Netfilter6子系统和IP6Tables命令的IPv6防火墙规则。使用IP6Tables的第一步是启动IP6Tables服务。它可以使用以下命令进行：serviceip6tablesstart特别警告你必须关闭IPTables服务才能专门使用IP6Tables服务：serviceiptablesstopchkconfigiptablesoff要使IP6Tables在系统引导时默认启动，使用chkconfig来改变服务的运行级别状态。chkconfig--level345ip6tableson其语法在各方面都和IPTables相同，只不过IPTables支持128位的地址。例如：在识别IPv6的网络服务器器上的SSH连接可以使用以下规则来启用：ip6tables-AINPUT-ieth0-ptcp-s3ffe:ffff:100::1/128--dport22-jACCEPT关于IPv6联网的详情，请参阅IPv6的信息页：/。iptables-AOUTPUT-pudp-ocipcbx-jACCEPT你可能还想为其它服务定义规则。关于IPTables及其各类选项的完整信息，请参阅《红帽企业Linux参考指南》。这些规则允许到防火墙上的常规及安全服务的访问；然而，它们并不允许防火墙之后的机器使用这些服务。要允许LAN使用这些服务，你可以使用带有IPTables过滤规则的NAT。重要提示在创建IPTables规则集合时，规则的顺序是至关重要的。例如：如果某个链指定了来自本地子网/24的任何机器的请求都应放弃，然后一个允许来自3（在前面要放弃分组的子网范围内）的机器的链被补在这个规则后面（-A），那么这个后补的规则就会被忽略。你必须首先设置允许3的规则，然后再设置放弃规则。如果想要在现存规则链的任意处插入一条规则，使用-I，随后是你想插入规则的链的名称，然后是你想放置规则的位置号码（1,2,3,...,n）。例如：iptables-IINPUT1-ilo-pall-jACCEPT这条规则被插入为INPUT链的第一条规则，它允许本地环回设备上的交通。教师讲授，演示防火墙的设置过程35分钟任务实施利用防火墙模块保护服务器服务第一步：使用防火墙模块对服务器群中的DNS服务器进行安全防护允许DNS查询（以客户端身份）[root@lab~]#iptables-AOUTPUT-pudp--dport53-jACCEPT[root@lab~]#iptables-AINPUT-pudp--sport53-jACCEPT允许DNS查询（服务器身份）[root@lab~]#iptables-AINPUT-pudp--dport53-jACCEPT[root@lab~]#iptables-AOUTPUT-pudp--sport53-jACCEPT区域复制[root@lab~]#iptables-AINPUT-ptcp-s2-d1--dport53-jACCEPT[root@lab~]#iptables-AOUTPUT-ptcp-s1-d2--sport53-jACCEPT允许回环地址[root@lab~]#iptables-AINPUT-s-d-jACCEPT[root@lab~]#^IN^OUTiptables-AOUTPUT-s-d-jACCEPT配置防火墙日志：[root@lab~]#touch/var/log/firewall.log[root@lab~]#vi/etc/syslog.confKern.=notice /var/log/firewall.log[root@lab~]#servicesyslogrestart[root@lab~]#iptables-IINPUT1-pudp--dport53-jLOG--log-level5--log-prefix"DNS-Iptables："[root@lab~]#tail－f/var/log/firewall.log第二步：使用防火墙模块对服务器群中的WEB服务器进行安全防护[root@lab~]#iptables-AINPUT-ptcp--dport80-jACCEPT[root@lab~]#iptables-AOUTPUT-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT允许回环地址[root@lab~]#iptables-AINPUT-s-d-jACCEPT[root@lab~]#^IN^OUTiptables-AOUTPUT-s-d-jACCEPT配置防火墙日志：[root@lab~]#touch/var/log/firewall.log[root@lab~]#vi/etc/syslog.confKern.=notice /var/log/firewall.log[root@lab~]#servicesyslogrestart[root@lab~]#iptables-IINPUT1-ptcp--dport80-jLOG--log-level5--log-prefix"WWW-Iptables："[root@lab~]#tail－f/var/log/firewall.log第三步：使用防火墙模块对服务器群中的DHCP服务器进行安全防护[root@lab~]#iptables-AINPUT-ptcp--dport67-jACCEPT[root@lab~]#iptables-AINPUT-pucp--dport67-jACCEPT[root@lab~]#iptables-AOUTPUT-ptcp--sport68-jACCEPT[root@lab~]#iptables-AOUTPUT-pucp--sport68-jACCEPT允许回环地址[root@lab~]#iptables-AINPUT-s-d-jACCEPT[root@lab~]#^IN^OUTiptables-AOUTPUT-s-d-jACCEPT配置防火墙日志：[root@lab~]#touch/var/log/firewall.log[root@lab~]#vi/etc/syslog.confKern.=notice /var/log/firewall.log[root@lab~]#servicesyslogrestart[root@lab~]#iptables-IINPUT1-pucp--dport67-jLOG--log-level5--log-prefix"DHCP-Iptables："[root@lab~]#tail－f/var/log/firewall.log第四步：使用防火墙模块对服务器群中的FTP服务器进行安全防护FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。Port模式：ftpserver:tcp21<client:dynamicftpserver:tcp20>client:dynamicPasv模式：ftpserver:tcp21<client:dynamicftpserver:tcpdynamic<client:dynamicPORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器：“我打开了XXXX端口，你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据。PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端：“我打开了XXXX端口，你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求，建立一条数据链路来传送数据。允许所有传入连接的FTPiptables-AINPUT-ptcp--dport21-jACCEPTiptables-AOUTPUT-ptcp--sport21-mstate--stateESTABLISHED-jACCEPT启用ActiveFTP传输iptables-AINPUT-ptcp--dport20-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AOUTPUT-ptcp--sport20-jACCEPT启用被动FTP传输iptables-AINPUT-ptcp--sport1024:65535--dport1024:65535-jACCEPTiptables-AOUTPUT-ptcp--sport1024:65535--dport1024:65535-mstate--stateESTABLISHED,RELATED-jACCEPT允许回环地址[root@lab2~]#iptables-AINPUT-s-d-jACCEPT[root@lab2~]#^IN^OUTiptables-AOUTPUT-s-d-jACCEPT配置防火墙日志：[root@lab2~]#touch/var/log/firewall.log[root@lab2~]#vi/etc/syslog.confKern.=notice /var/log/firewall.log[root@lab2~]#servicesyslogrestart[root@lab2~]#iptables-IINPUT1-ptcp--dport21-jLOG--log-level5--log-prefix"FTP-Iptables："[root@lab2~]#tail－f/var/log/firewall.log利用防火墙模块架设安全防火墙如果使用Linux系统架设网关，例如内网eth0接口地址为、外网eth1接口地址为，其内部局域网地址段为/24、内网web服务器地址为2、ftp服务器地址为3，需要将内网服务器发布到互联网上。第一步：允许内网上网[root@lab2~]#echo1>/proc/sys/net/ipv4/ip_forward[root@lab2~]#iptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADE[root@lab2~]#iptables-AFORWARD-s/24-jACCEPT[root@lab2~]#iptables-AFORWARD-d/24-jACCEPT第二步：将web发布到互联网上发布WEB服务器用DNAT作端口映射[root@lab2~]#iptables-tnat-APREROUTING-d-ptcp--dport80-jDNAT--to2用SNAT作源地址转换（关键），以使回应包能正确返回[root@lab2~]#iptables-tnat-APOSTROUTING-d2-ptcp--dport80-jSNAT--to打开FORWARD链的相关端口[root@lab2~]#iptables-AFORWARD-oeth0-d2-ptcp--dport80-jACCEPT[root@lab2~]#iptables-AFORWARD-ieth0-s2-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT第三步：将ftp发布到互联网上发布FTP服务器加载ip_nat_ftp模块modprobeip_nat_ftp加载ip_conntrack_ftp模块modprobeip_conntrack_ftp#用DNAT作端口映射[root@l