信创服务器操作系统（银河麒麟版）-安全与网络服务 课件 项目1 部署银河麒麟高级服务器操作系统防火墙服务

项目1部署银河麒麟高级服务器

操作系统防火墙服务信创服务器操作系统（麒麟版）——安全与网络学习目标防火墙原理了解银河麒麟高级服务器操作系统中系统防火墙的基本原理和工作机制服务管理熟悉Firewalld服务的管理和控制方法,掌握动态防火墙配置技术命令行操作掌握Firewalld的命令行操作,实现精确的网络访问控制安全增强了解银河麒麟高级服务器操作系统增强的KYSEC安全特性项目背景天网工作室服务器安全需求天网工作室最近上线了一台服务器。网络工程师需要在银河麒麟高级服务器操作系统上实施全面的防火墙管理措施。通过利用Firewalld动态防火墙控制来配置和优化网络安全策略,同时实施银河麒麟高级服务器操作系统特有的KYSEC安全增强功能,实现精确控制网络接口的安全区域分配、端口管理和访问规则。项目实施方案配置Firewalld防火墙利用Firewalld对网络接口进行安全区域划分,设定默认策略和自定义规则,并实现动态更新KYSEC安全增强实施部署KYSEC安全控制,通过强制访问控制和安全标记加强数据保护,并定期审查安全策略防火墙配置和控制的组件及其关系从银河麒麟高级服务器操作系统V10开始,默认使用Firewalld防火墙。Firewalld提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理。Netfilter核心组件什么是NetfilterNetfilter是银河麒麟高级服务器操作系统核心层内部的一个数据包处理模块,是银河麒麟高级服务器操作系统平台下的包过滤防火墙。核心功能网络地址转换数据包内容修改数据包过滤的防火墙功能防火墙基础组件1表(Tables)相同功能规则的集合,用于组织和管理防火墙规则2链(Chains)数据包处理的关卡,决定数据包的流向和处理方式3规则(Policy)包含匹配条件和处理动作,定义具体的过滤策略防火墙工作原理数据包通过系统网络堆栈的路径展示了它们如何与Netfilter/iptables互动。数据包首先进入PREROUTING链,此处决定了它们的下一步路由。如果数据包目的地是本地系统,它将进入INPUT链;如果数据包将被路由至其他系统,它将通过FORWARD链。防火墙链的处理流程01PREROUTING链数据包进入系统的第一个处理点02路由判断决定数据包是发往本地还是转发03INPUT/FORWARD链根据目的地进入相应的处理链04OUTPUT链本地产生的数据包进入此链05POSTROUTING链数据包离开系统前的最后处理防火墙四大表raw表数据包首先经过的表,用于决定包是否应该被跟踪,可以跳过Netfilter的连接跟踪机制mangle表用于修改数据包的特定部分,比如改变数据包的TTL或者为数据包打标签等nat表用于网络地址转换,如源NAT和目的NAT,将私有网络地址转换为公共地址filter表过滤数据包的地方,用于决定哪些数据包可以通过,哪些应该被丢弃四个表的优先级由高到低的顺序为:raw→mangle→nat→filter静态防火墙vs动态防火墙静态防火墙每次修改规则后都必须重新加载整个规则列表代表:iptablesservice模式缺点:规则更新需要完全重载,影响服务连续性动态防火墙对规则的任何变更只需保存并更新变更部分,无需重新加载所有规则代表:Firewalld机制优势:实时更新规则,不影响现有连接Firewalld服务特性核心特点Firewalld提供了daemon和service,并支持命令行及图形界面配置工具。daemon在后台持续运行,不需要用户持续干预即可自动管理服务。它在功能上替代了iptablesservice部分,但在底层仍使用iptables作为防火墙规则管理入口,而数据包过滤则由内核中的Netfilter子系统负责。Firewalld九大安全区域trusted信任区域,允许所有连接home家庭网络,基本信任internal内部网络,等同homework工作区域,基本信任public公共区域,默认区域external外部网络,启用伪装Firewalld将网卡映射到不同的区域,默认提供九个区域,在银河麒麟高级服务器操作系统中,默认区域被设置为public安全区域详细策略dmz(非军事区)此区域可公开访问,可以有限地进入内部网络,流量与ssh服务相关则允许进入block(限制)任何接收的网络连接都被拒绝,提供最严格的访问控制drop(丢弃)任何接收的网络数据包都被丢弃,仅能有发送出去的网络连接Firewalld默认对所有服务实行拒绝策略,只有在明确配置后才会放行特定服务麒麟安全增强功能概览麒麟安全增强的各种安全功能包括管理员分权机制、典型实施机制、多级安全机密性机制、Kysec机制、支持国密算法、用户UID唯一性、双因子认证、安全中心、安全管理工具、文件保密箱和日志管理工具等。访问控制模型自主访问控制(DAC)银河麒麟高级服务器操作系统下默认的接入控制机制,通过对资源读、写、执行操作,保证系统安全。强制访问控制(MAC)安全接入控制机制,默认情况下MAC不允许任何访问,用户可以自定义策略规则指定允许什么,从而避免很多攻击。MAC强制访问控制实现方式Apparmor内核模块的一个安全框架默认选择:Ubuntu系统SELinux美国国家安全局对于强制访问控制的实现默认选择:RHEL系统KYSEC基于kysec安全标记对执行程序、脚本文件、共享库、内核模块进行保护默认选择:银河麒麟高级服务器操作系统KYSEC三种安全模式1强制模式(Normal)出现违规操作时,不止会审计记录该操作,还会阻止该操作的运行,提供最高级别的安全保护2警告模式(Warning)出现违规操作时,会弹出麒麟安全授权认证框进行授权,允许管理员实时决策3软模式(Softmode)出现违规操作时,只会审计记录该操作,而不会阻止该操作的运行,适合测试环境KYSEC安全标记体系userid-文件身份标记用于对执行文件的用户进行限制,包括secadm(安全管理员)、audadm(审计管理员)和none(无身份标记)protect-文件保护标记用于对文件进行保护和检测,包括verify(执行前检查)、readonly(只读)和none(无保护标记)exectl-执行控制标记用于对文件的是否可执行进行控制,包括unknown、original、verified、kysoft和trusted等标记执行控制标记详解1unknown未知文件标记,该标记不可执行2original系统原始文件标记,该标记可执行3verified第三方可执行文件标记,该标记可执行4kysoft可信安全脚本标记,该标记可执行5trusted可信文件标记,拥有该标记的程序对文件进行修改时文件标记不变,该标记可执行任务实施任务1-1:配置Firewalld防火墙01网络接口分配将网络接口分配到合适的安全区域02默认策略和自定义规则设置配置区域的默认策略和特定规则03动态防火墙管理实现规则的动态更新和管理步骤1:启动Firewalld服务操作命令systemctlstartfirewalldsystemctlenablefirewalldsystemctlstatusfirewalld确保Firewalld已安装并在服务器上运行,并设置为开机自启步骤2:查看可用安全区域firewall-cmd--get-zones查看所有可用的安全区域,系统将显示九个预定义的安全区域步骤3:分配网络接口到安全区域永久配置命令firewall-cmd--permanent--zone=public--add-interface=eth0firewall-cmd--reload根据网络设计和安全需求,将网络接口(如eth0)分配到合适的安全区域,使用--permanent参数使其更改永久生效步骤4:设置默认策略firewall-cmd--permanent--zone=public--set-target=DROPfirewall-cmd--reload确定每个安全区域的默认策略,例如拒绝所有未明确允许的入站和出站连接。使用--permanent参数使其更改永久生效,然后重启Firewalld生效。步骤5:开放特定服务开放ICMP服务firewall-cmd--permanent--zone=public--add-service=icmpfirewall-cmd--reload根据需要为特定的区域开放特定端口或服务,例如允许HTTP服务的端口80或ICMP服务开放HTTP端口firewall-cmd--permanent--zone=public--add-port=80/tcpfirewall-cmd--reload使用--permanent参数使其更改永久生效步骤6:配置源地址规则firewall-cmd--permanent--zone=public--add-source=00firewall-cmd--reload使用源地址或目标地址规则来限制或允许特定IP地址的流量的进入。使用--permanent参数使其更改永久生效,然后重启Firewalld生效。动态防火墙管理-临时规则临时开放端口firewall-cmd--zone=public--add-port=5000/tcpFirewalld允许在不重启服务的情况下实时添加、修改或删除防火墙规则。这种更改在下一次重载或重启之前是临时生效的。动态防火墙管理-永久规则firewall-cmd--permanent--zone=public--add-port=5000/tcpfirewall-cmd--reload要使更改永久生效,需要在命令中加入--permanent标志。例如,永久开放5000端口,然后重启Firewalld使更改生效。检查防火墙配置查看配置命令firewall-cmd--list-allfirewall-cmd--list-all-zones使用这些命令可以检查当前的所有规则和配置,确保规则按预期设置任务验证-连通性测试Ping测试ping服务器IP地址用其他机器使用ping命令测试服务器的连通性,验证ICMP服务是否正常开放端口测试telnet服务器IP地址80用其他机器使用telnet命令检测服务器80端口的连通性,验证HTTP服务是否可访问任务实施任务1-2:安全增强实施安装KYSEC安全控制使用yum命令安装麒麟安全增强工具修改当前KYSEC状态开启KYSEC并配置相关功能配置KYSEC安全标记为文件和程序设置安全标记步骤1:查找麒麟安全增强工具yumgrouplist使用yum命令中的grouplist参数查看查找麒麟安全增强工具,系统将显示可用的软件包组列表步骤2:安装麒麟安全增强工具安装命令yumgroupinstall"麒麟安全增强"使用yum命令中的groupinstall参数安装麒麟安全增强工具,系统将自动下载并安装所有相关组件步骤3:验证KYSEC安装kysecgetstatus验证KYSEC是否安装成功,命令将显示当前KYSEC的状态信息,包括是否启用、当前模式等步骤4:开启KYSEC开启命令kysecenablerebootkysecgetstatus开启KYSEC后系统会提示重启,使用reboot命令重启系统,重启完之后再使用getstatus查看KYSEC的情况步骤5:开启KYSEC的netctl功能kysecnetctlenable-t修改当前KYSEC的netctl状态,-t参数就是将当前状态改为持久化,确保系统重启后配置依然有效步骤6:配置KYSEC安全标记echo"testcontent">test.txtkysecsetmark-ftest.txt-mreadonly创建一个txt文件,并且给文件写入内容,然后为文件设置安全标记,例如设置为只读保护任务验证-检查KYSEC状态验证命令kysecgetstatus使用getstatus命令验证KYSEC和netctl是否开启,确认所有安全功能正常运行项目总结掌握核心技能理解防火墙基本原理和工作机制熟练配置Firewalld动态防火墙掌握KYSEC安全增强功能实现企业级网络安全防护通过本项目的学习,您已经具备了在银河麒麟高级服务器操作系统上部署和管理防火墙服务的能力,能够为企业构建安全可靠的网络环境。习题-选择题1问题1Firewalld防火墙服务使用()来管理网络流量规则。A.iptablesB.netfilterC.firewalld-zonesD.network-manager2问题2在银河麒麟高