网络基础信息及安全 16

任务2Linux防火墙配置——项目七Linux操作系统的安全配置课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux防火墙概述Linux防火墙规则与策略深度配置子任务1安装Linux防火墙03子任务2防火墙配置04子任务3防火墙策略管理0501任务规划任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。1）测评内容：在服务器上安装firewalld防火墙。安全加固措施：使用命令进行安装前检查：systemctlstatusfirewalld。执行安全命令：sudodnfinstallfirewalld任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。2）测评内容：查看firewalld服务状态、查看当前默认区域、更改默认区域、开放特定端口与IP。安全加固措施：使用防火墙的管理命令，以监控防火墙的状态、启用/禁用防火墙服务，并确保防火墙在系统启动时自动运行。配置详细的防火墙规则以及制定并实施有效的防火墙策略，使该服务器目前运行在internal区域且仅允许80端口和443端口的访问，而22端口仅允许来自/24IP地址范围的设备通过TCP协议访问。

任务规划在Linux服务器上通过配置防火墙实现网络访问控制，保护关键业务系统。3）测评内容：配置服务与端口管理，以确保网络流量的安全性和合规性。安全加固措施：富规则配置、服务与端口管理。本任务的环境CentOSLinux8.0服务器“02相关知识相关知识——2.1Linux防火墙基础知识一、防火墙核心作用Linux防火墙作为网络安全的核心屏障，部署于内部网络与外部网络的交界处，如同网络安全的“守门人”。它依据预先设定的规则，对进出系统的网络流量进行深度检测与严格管控，能够有效识别并拦截非法访问、恶意攻击等威胁，防止敏感数据泄露、系统被入侵，确保系统的安全性、稳定性和数据的完整性，是企业网络安全防护体系的关键环节。相关知识——2.1Linux防火墙基础知识二、按实现方式分类1.包过滤型防火墙：工作层次：位于网络层和传输层。工作原理：基于数据包的源IP地址、目的IP地址、端口号、协议类型（如TCP、UDP、ICMP等）等网络层和传输层信息进行过滤。当数据包到达防火墙时，防火墙逐一检查这些信息，并与预设的规则进行匹配。若符合规则，则允许数据包通过；若不符合，则直接丢弃。例如，可设置规则只允许特定IP地址段访问服务器的80端口，其他IP的访问请求将被拦截。特点：处理速度快，对网络性能影响较小，但无法对应用层数据进行深入检查，存在一定安全局限性，如难以防范利用应用层漏洞的攻击。典型工具：Iptables。相关知识——2.1Linux防火墙基础知识二、按实现方式分类2.应用代理型防火墙（状态检测防火墙）：工作层次：工作在应用层。工作原理：不直接转发数据包，而是在用户与外部网络之间充当代理。当用户请求访问外部网络资源时，应用代理防火墙先接收请求，对应用层数据（如HTTP请求头、邮件内容等）进行深度解析和检查，验证其合法性和安全性。只有通过检查的请求，防火墙才会以自身名义向外部服务器发起请求，并将响应结果返回给用户。此外，它还会维护会话状态信息，跟踪每个连接的状态，确保后续数据包属于合法会话。相关知识——2.1Linux防火墙基础知识二、按实现方式分类2.应用代理型防火墙（状态检测防火墙）：特点：能够提供更高级别的安全防护，有效抵御应用层攻击，如SQL注入、跨站脚本攻击等。但由于需要对应用层数据进行处理，性能相对较低，配置也更为复杂。典型工具：Squid、pfSense。相关知识——2.1Linux防火墙基础知识三、按使用工具分类1.Iptables：是Linux系统中经典的防火墙工具，基于Netfilter内核模块构建。Iptables通过定义规则表和规则链来管理防火墙规则，灵活性高，但配置相对复杂，需要对网络协议和规则逻辑有深入理解，适用于对防火墙有高度定制化需求的场景。2.Firewalld：是新一代动态防火墙管理工具，作为systemd的一部分，在现代Linux发行版（如Fedora、CentOS、RHEL）中广泛使用。它提供了更直观、易于管理的操作界面，支持防火墙规则的动态更新，无需重启服务即可生效，极大地简化了网络安全配置和维护工作。相关知识——2.2Linux防火墙实现机制一、Netfilter内核模块Netfilter是Linux内核中负责网络数据包处理的核心组件，处于网络协议栈的关键路径上，如同网络数据流通的“交通枢纽”。它提供了一系列钩子（hook）函数，在数据包流经内核网络协议栈的不同阶段进行拦截和处理。这些钩子点包括：1.

PREROUTING：数据包进入系统后，在路由决策之前被拦截，常用于实现目的地址转换等操作。2.INPUT：经过路由决策后，数据包要进入本机的用户空间时被拦截，主要用于过滤进入本机的数据包。3.FORWARD：当数据包需要通过本机进行转发（非本机接收）时被拦截，用于控制转发的数据包。4.OUTPUT：从本机用户空间发出的数据包在路由之前被拦截，可对本地生成的数据包进行过滤和修改。5.POSTROUTING：数据包即将离开系统时被拦截，常用于实现源地址转换（SNAT）、数据包伪装等功能。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具Iptables是用户空间用于配置Netfilter规则的工具，通过定义规则表（tables）和规则链（chains）来组织和管理防火墙规则。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具1.规则表Iptables默认包含四个规则表，每个表负责不同的功能：Filter表：默认表，主要用于数据包过滤，决定数据包是接受、拒绝还是转发，包含INPUT、OUTPUT和FORWARD三条规则链。例如，可在Filter表的INPUT链中设置规则，禁止特定IP地址访问服务器。Nat表：用于网络地址转换，实现端口转发、IP伪装等功能，包含PREROUTING、POSTROUTING和OUTPUT三条规则链。比如，通过Nat表的PREROUTING链可将外部对特定端口的访问请求转发到内部服务器的相应端口。Mangle表：用于修改数据包的内容，如设置服务质量（QoS）标志位、更改数据包的TTL值等，常用于对数据包进行特殊处理。Raw表：用于对数据包进行初始处理，如关闭NAT表上启用的连接追踪机制，确定是否对该数据包进行状态跟踪，在一些特殊场景下使用。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具2.规则链规则链是规则的集合，每个规则表包含若干规则链，数据包按照规则链中的规则顺序进行匹配：INPUT链：处理进入本机的数据包，是防御外部攻击的重要防线。OUTPUT链：处理从本机发出的数据包，可控制本地应用对外的访问。FORWARD链：处理通过本机路由转发的数据包，用于保护转发路径上的网络安全。PREROUTING链：在数据包进入系统后、路由之前进行处理，常用于目的地址转换。POSTROUTING链：在数据包即将离开系统时进行处理，常用于源地址转换。相关知识——2.2Linux防火墙实现机制一、Iptables用户空间工具2.规则要素匹配条件：用于判断数据包是否符合规则，包括源地址、目的地址、端口号、协议类型、接口等。例如，“源地址为/24网段，目的端口为80，协议为TCP”就是一个具体的匹配条件。动作（目标）：当数据包匹配规则后执行的操作，常见的有ACCEPT（接受）、DROP（丢弃）、REJECT（拒绝并返回错误信息）、LOG（记录日志）等。例如，若匹配到恶意IP的访问请求，可设置规则将其丢弃或拒绝。模块：扩展Iptables功能的组件，提供额外的匹配条件和功能。如limit模块可实现流量限速，state模块可用于状态检测。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：trusted（受信任）：最高信任级别，允许所有网络连接通过，适用于绝对可信的网络环境，如家庭内部完全信任的设备网络，但使用时需谨慎，避免引入安全风险。home（家庭）：适用于家庭网络环境，默认仅接受特定的连接，如SSH（远程管理）、MDNS（设备发现）、IPP-Client（打印服务客户端）、Samba-Client（文件共享客户端）或DHCPv6-Client（IPv6动态地址分配客户端）等服务连接，在保障家庭网络设备正常通信的同时，限制其他不必要的访问。internal（内部）：用于企业或组织的内部网络，与home区域类似，仅允许特定服务连接，可根据内部网络需求进行自定义配置，保护内部资源安全。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：work（工作）：适用于工作场所网络，默认允许SSH、IPP-Client和DHCPv6-Client等连接，为办公设备提供必要的网络服务，同时限制外部非授权访问。public（公共）：默认区域，适用于公共网络环境（如咖啡店、机场等），安全性较高，仅允许特定的连接，如SSH和DHCPv6-Client，最大限度减少公共网络带来的安全威胁。external（外部）：类似于路由器的启用伪装（Masquerading）选项，常用于连接外部网络（如互联网），仅允许特定连接（如SSH），并对外出网络连接进行伪装和转发，隐藏内部网络结构，增强网络安全性。相关知识——2.3Firewalld防火墙一、Firewalld核心概念1.Zone（区域）Zone是Firewalld的核心概念之一，代表一组网络接口和与之关联的防火墙规则，不同Zone对应不同的安全策略，适用于不同的网络环境：dmz（非军事区）：用于放置可公开访问但对内部网络有限制访问的计算机（如Web服务器、邮件服务器），仅接受特定连接（如SSH），实现内外网隔离，保护内部核心网络安全。block（阻止）：拒绝所有网络服务连接，但允许由该系统初始化的网络连接。当外部设备尝试连接时，会返回icmp-host-prohibited消息，告知连接被拒绝，适用于对安全性要求极高且不需要外部主动连接的场景。drop（丢弃）：任何外部访问的网络数据包都会被直接丢弃，且不返回任何响应，仅允许由该系统发起的网络连接，是最严格的安全策略，适用于极端安全需求的环境。相关知识——2.3Firewalld防火墙一、Firewalld核心概念2.Service（服务）Service是Firewalld中预定义的一组与特定网络应用相关的端口和协议组合，将复杂的端口和协议配置进行封装，简化防火墙配置过程。例如，http服务对应TCP协议的80端口，https服务对应TCP协议的443端口。Firewalld提供了众多预定义服务，存储在/usr/lib/firewalld/services/目录下，可通过firewall-cmd--get-services命令列出。此外，管理员还可根据实际需求，在/etc/firewalld/services/目录下创建自定义服务的XML配置文件，定义特定应用的端口、协议等参数。相关知识——2.3Firewalld防火墙一、Firewalld核心概念3.RichRules（富规则）富规则是Firewalld中功能强大且灵活的规则定义方式，用于创建复杂的防火墙策略。它支持多种条件组合，包括源地址、目的地址、端口、协议、连接状态等。例如，“仅允许源地址为/24网段，目的端口为22，协议为TCP的连接通过”就是一条富规则。富规则使用特定的语法格式，通过firewall-cmd命令进行配置，能够满足多样化的安全需求，实现对网络流量的精准控制。相关知识——2.3Firewalld防火墙二、Firewalld管理命令1.服务管理命令：启动服务：systemctlstartfirewalld，用于启动Firewalld服务。停止服务：systemctlstopfirewalld，停止正在运行的Firewalld服务，停止后网络流量将不再受其管控。重启服务：systemctlrestartfirewalld，先停止服务再启动，常用于配置变更后使新规则生效，但会中断现有连接。查看服务状态：systemctlstatusfirewalld，显示Firewalld服务的运行状态，包括是否正在运行、启动时间等信息。设置开机自启：systemctlenablefirewalld，配置Firewalld服务在系统启动时自动运行，确保系统启动后防火墙立即生效。禁用开机自启：systemctldisablefirewalld，取消Firewalld服务的开机自启设置。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：查看当前活动区域和规则：firewall-cmd--list-all，显示当前生效的区域配置以及该区域内的所有规则，包括开放的端口、服务、富规则等信息。查看当前默认区域：firewall-cmd--get-default-zone，获取当前系统设置的默认区域。更改默认区域：firewall-cmd--set-default-zone=区域名称，将指定区域设置为默认区域，后续未明确指定区域的规则将应用于该默认区域。临时开放端口：firewall-cmd--zone=区域名称--add-port=端口号/协议，在指定区域临时开放端口，系统重启后设置失效。永久开放端口：firewall-cmd--permanent--zone=区域名称--add-port=端口号/协议，在指定区域永久开放端口，需执行firewall-cmd--reload使配置生效。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：关闭端口：将开放端口命令中的--add-port替换为--remove-port，即可关闭指定端口。添加服务：firewall-cmd--permanent--zone=区域名称--add-service=服务名称，在指定区域添加预定义服务，同样需执行firewall-cmd--reload生效。删除服务：将添加服务命令中的--add-service替换为--remove-service，删除已添加的服务。添加富规则：firewall-cmd--permanent--zone=区域名称--add-rich-rule='规则内容'，在指定区域添加富规则，执行firewall-cmd--reload后规则生效。相关知识——2.3Firewalld防火墙二、Firewalld管理命令2.规则管理命令：删除富规则：将添加富规则命令中的--add-rich-rule替换为--remove-rich-rule，删除指定富规则。使配置生效：firewall-cmd--reload，重新加载Firewalld配置，使新增或修改的规则立即生效，且不会中断现有连接；firewall-cmd--complete-reload，重新启动Firewalld服务并加载配置，会中断现有连接，一般在配置变动较大时使用。相关知识——2.3Firewalld防火墙二、Firewalld管理命令3.日志查看命令：Firewalld的日志通常存储在/var/log/messages或/var/log/firewalld目录下，可使用tail、grep等命令查看。例如，tail-f/var/log/firewalld实时查看Firewalld日志，grep"REJECT"/var/log/firewalld筛选出拒绝连接的日志记录，用于分析和排查网络访问问题及安全事件。好学深思认识Linux防火墙权限管理，按要求做好Linux防火墙权限管理的相关操作。在责任与法治层面，其配置关乎系统安全，稍有差错便可能引发数据泄露等严重后果，要求学习者树立“网络安全无小事”的责任意识，严守《网络安全法》等法规，将规则视为法律红线，杜绝违规操作，维护数据安全与用户隐私。从协作与创新角度看，网络安全需多部门协同，防火墙配置要与其他防护环节配合，强化集体主义精神；面对不断演变的网络威胁，学习者应保持创新思维，主动学习前沿技术，灵活调整防护策略，提升风险应对能力，以动态化防护适应网络安全新挑战。03子任务1子任务1-1安装Linux防火墙1）测评内容：在服务器上安装firewalld防火墙。安全加固措施：使用命令进行安装前检查：systemctlstatusfirewalld。执行安全命令：sudodnfinstallfirewalld本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师