资源描述
RHEL7版版-项目目07网网络配置与配置与Firewalld防火防火墙管理管理RHEL7版-项目07网络配置与Firewalld防火墙管理第第2 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024项目项目项目项目7 7 网络配置与网络配置与网络配置与网络配置与FirewalldFirewalld防火墙的管理防火墙的管理防火墙的管理防火墙的管理【职业知识目标职业知识目标职业知识目标职业知识目标】了解:网络配置文件及配置方式了解:网络配置文件及配置方式了解:网络配置文件及配置方式了解:网络配置文件及配置方式;防火墙的概念、功能与分类;防火墙的概念、功能与分类;防火墙的概念、功能与分类;防火墙的概念、功能与分类;NAT NAT服务的概念及分类服务的概念及分类服务的概念及分类服务的概念及分类 熟悉熟悉熟悉熟悉:Linux:Linux防火墙的防火墙的防火墙的防火墙的历史演进与架构、历史演进与架构、历史演进与架构、历史演进与架构、firewalld firewalld防火墙的组成;防火墙的组成;防火墙的组成;防火墙的组成;NAT NAT服务的工作过程服务的工作过程服务的工作过程服务的工作过程 掌握掌握掌握掌握:主机名、以太网卡的设置;软路由器的配置;主机名、以太网卡的设置;软路由器的配置;主机名、以太网卡的设置;软路由器的配置;主机名、以太网卡的设置;软路由器的配置;防火墙的配置防火墙的配置防火墙的配置防火墙的配置;NATNAT的配置方法的配置方法的配置方法的配置方法【职业能力目标职业能力目标职业能力目标职业能力目标】会配置主机名和网卡、路由;会配置客户端名称解析会配置主机名和网卡、路由;会配置客户端名称解析会配置主机名和网卡、路由;会配置客户端名称解析会配置主机名和网卡、路由;会配置客户端名称解析 架设软路由器实现多子网连通架设软路由器实现多子网连通架设软路由器实现多子网连通架设软路由器实现多子网连通 会会安装安装安装安装FirewallDFirewallD防火墙运行管理防火墙运行管理防火墙运行管理防火墙运行管理;会使用图形工具会使用图形工具会使用图形工具会使用图形工具firewall-configfirewall-config配置防火墙配置防火墙配置防火墙配置防火墙 使用命令行工具使用命令行工具使用命令行工具使用命令行工具firewall-cmdfirewall-cmd配置防火墙配置防火墙配置防火墙配置防火墙 会会会会使用使用使用使用firewalldfirewalld防火墙部署防火墙部署防火墙部署防火墙部署NATNAT服务服务服务服务项目7 网络配置与Firewalld防火墙的管理【职业知第第3 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024 德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成,并通过租用电信并通过租用电信并通过租用电信并通过租用电信400MB400MB光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下网络管理员需要从以下网络管理员需要从以下网络管理员需要从以下三个方面实施网络配置三个方面实施网络配置三个方面实施网络配置三个方面实施网络配置:网络主机网络主机(终端节点终端节点)的连网配置的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。7.1 项目描述项目描述德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多第第4 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2 项目知识准备项目知识准备7-2-17-2-1 网络配置的主要文件和对象网络配置的主要文件和对象网络配置的主要文件和对象网络配置的主要文件和对象1.网络配置的主要文件及目录网络配置的主要文件及目录路径及文件名功能/etc/hostname用于设置和保存静态主机名/etc/machine-info用于设置和保存灵活主机名/etc/hosts用于设置主机名映射为IP地址,从而实现主机名的解析/etc/sysconfig/network-scripts/网络接口(网卡)配置文件的存放目录/etc/resolv.conf用于对主机的DNS服务器IP地址进行配置/etc/nsswitch.conf用于指定域名解析顺序/etc/services用于设置主机的不同端口对应的网络服务(一般无需修改)/usr/lib/sysctl.d/00-system.conf用于开启或关闭路由转发功能,从而使数据包能在不同子网之间转发/etc/sysconfig/network-scripts/route-ensXX用于设置并保存静态路由信息,从而将Linux服务器构建为软路由器 7.2 项目知识准备7-2-1 网络配置的主要文件和对第第5 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20242.2.网络配置的主要对象网络配置的主要对象网络配置的主要对象网络配置的主要对象网络接口与网络连接网络接口与网络连接网络接口与网络连接网络接口与网络连接网络接口网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:len示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如:lo表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号;ls表示是插在可以热拔插的插槽上的独立设备及索引号;lx表示基于MAC地址命名的设备;lp表示PCI插槽的物理位置及编号。网网网网络络络络连连连连接接接接则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。7-2-17-2-1 网络配置的主要文件和对象网络配置的主要文件和对象网络配置的主要文件和对象网络配置的主要文件和对象2.网络配置的主要对象网络接口与网络连接7-2-1 第第6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2.2 7.2.2 认识防火墙认识防火墙认识防火墙认识防火墙 1 1什么是防火墙什么是防火墙什么是防火墙什么是防火墙 防火墙防火墙防火墙防火墙是指设置在不同网络是指设置在不同网络是指设置在不同网络是指设置在不同网络(如可信任的企业内部网和不可信的公共网如可信任的企业内部网和不可信的公共网如可信任的企业内部网和不可信的公共网如可信任的企业内部网和不可信的公共网)或网络安全域之间的一或网络安全域之间的一或网络安全域之间的一或网络安全域之间的一系列部件的组合。系列部件的组合。系列部件的组合。系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制能根据企业的安全策略控制能根据企业的安全策略控制能根据企业的安全策略控制(允许、拒绝、监测允许、拒绝、监测允许、拒绝、监测允许、拒绝、监测)出入网络的信息流出入网络的信息流出入网络的信息流出入网络的信息流,且本身具有较强的抗攻击能力。且本身具有较强的抗攻击能力。且本身具有较强的抗攻击能力。且本身具有较强的抗攻击能力。在逻辑上在逻辑上在逻辑上在逻辑上,防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和它能有效地监控内部网和它能有效地监控内部网和它能有效地监控内部网和InternetInternet之间的任何活之间的任何活之间的任何活之间的任何活动动动动,保证了内部网络的安全。保证了内部网络的安全。保证了内部网络的安全。保证了内部网络的安全。7.2.2 认识防火墙1什么是防火墙 第第7 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20242.2.防火墙的功能防火墙的功能防火墙的功能防火墙的功能 过滤进出网络的数据包过滤进出网络的数据包过滤进出网络的数据包过滤进出网络的数据包,封堵某些禁止的访问行为封堵某些禁止的访问行为封堵某些禁止的访问行为封堵某些禁止的访问行为 对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据并提供网络使用情况的统计数据并提供网络使用情况的统计数据并提供网络使用情况的统计数据,实现对网络存取和访问的监实现对网络存取和访问的监实现对网络存取和访问的监实现对网络存取和访问的监控审计。控审计。控审计。控审计。对网络攻击进行检测和告警。对网络攻击进行检测和告警。对网络攻击进行检测和告警。对网络攻击进行检测和告警。防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击防火墙可以保护网络免受基于路由的攻击,如如如如IPIP选项中的源路由攻击和选项中的源路由攻击和选项中的源路由攻击和选项中的源路由攻击和ICMPICMP重定向中的重定向重定向中的重定向重定向中的重定向重定向中的重定向路径路径路径路径,并通知防火墙管理员。并通知防火墙管理员。并通知防火墙管理员。并通知防火墙管理员。提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换提供数据包的路由选择和网络地址转换(NAT),(NAT),从而解决局域网中主机使用内部从而解决局域网中主机使用内部从而解决局域网中主机使用内部从而解决局域网中主机使用内部IPIP地址也能够顺利访地址也能够顺利访地址也能够顺利访地址也能够顺利访问外部网络的应用需求。问外部网络的应用需求。问外部网络的应用需求。问外部网络的应用需求。7.2.2 7.2.2 认识防火墙认识防火墙认识防火墙认识防火墙2.防火墙的功能7.2.2 认识防火墙第第8 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20243.3.防火墙的类型防火墙的类型防火墙的类型防火墙的类型 1 1)按采用的技术划分)按采用的技术划分)按采用的技术划分)按采用的技术划分 包包包包过过过过滤滤滤滤型型型型防防防防火火火火墙墙墙墙在在在在网网网网络络络络层层层层或或或或传传传传输输输输层层层层对对对对经经经经过过过过的的的的数数数数据据据据包包包包进进进进行行行行筛筛筛筛选选选选。筛筛筛筛选选选选的的的的依依依依据据据据是是是是系系系系统统统统内内内内设设设设置置置置的的的的过过过过滤滤滤滤规规规规则则则则,通通通通过过过过检检检检查查查查数数数数据据据据流流流流中中中中每每每每个个个个数数数数据据据据包包包包的的的的IPIP源源源源地地地地址址址址、IPIP目目目目的的的的地地地地址址址址、传传传传输输输输协协协协议议议议(TCP(TCP、UDPUDP、ICMPICMP等等等等)、TCP/UDPTCP/UDP端端端端口口口口号号号号等等等等因因因因素素素素,来来来来决决决决定定定定是是是是否否否否允允允允许许许许该该该该数数数数据据据据包包包包通通通通过过过过。(包包包包的大小的大小的大小的大小15001500字节)字节)字节)字节)代代代代理理理理服服服服务务务务器器器器型型型型防防防防火火火火墙墙墙墙是是是是运运运运行行行行在在在在防防防防火火火火墙墙墙墙之之之之上上上上的的的的一一一一种种种种应应应应用用用用层层层层服服服服务务务务器器器器程程程程序序序序,它它它它通通通通过过过过对对对对每每每每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。7.2.2 7.2.2 认识防火墙认识防火墙认识防火墙认识防火墙3.防火墙的类型7.2.2 认识防火墙第第9 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024 2 2)按实现的环境划分)按实现的环境划分)按实现的环境划分)按实现的环境划分 软件防火墙:学校、上前台电脑的网吧软件防火墙:学校、上前台电脑的网吧软件防火墙:学校、上前台电脑的网吧软件防火墙:学校、上前台电脑的网吧 普通计算机普通计算机普通计算机普通计算机+通用的操作系统(如:通用的操作系统(如:通用的操作系统(如:通用的操作系统(如:linuxlinux)硬件(芯片级)防火墙:基于专门的硬件平台和固化在硬件(芯片级)防火墙:基于专门的硬件平台和固化在硬件(芯片级)防火墙:基于专门的硬件平台和固化在硬件(芯片级)防火墙:基于专门的硬件平台和固化在ASICASIC芯片来执行防火墙的策略和数据加芯片来执行防火墙的策略和数据加芯片来执行防火墙的策略和数据加芯片来执行防火墙的策略和数据加解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如:解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如:解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如:解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点(如:NetScreenNetScreen、FortiNet FortiNet )通常有三个以上网卡接口通常有三个以上网卡接口通常有三个以上网卡接口通常有三个以上网卡接口 外网接口:用于连接外网接口:用于连接外网接口:用于连接外网接口:用于连接InternetInternet网;网;网;网;内网接口:用于连接代理服务器或内部网络;内网接口:用于连接代理服务器或内部网络;内网接口:用于连接代理服务器或内部网络;内网接口:用于连接代理服务器或内部网络;DMZDMZ接口(非军事化区):专用于连接提供服务的服务器群。接口(非军事化区):专用于连接提供服务的服务器群。接口(非军事化区):专用于连接提供服务的服务器群。接口(非军事化区):专用于连接提供服务的服务器群。Console口4个10/100/1000口并发连接数并发连接数并发连接数并发连接数:500000:500000 网络吞吐量网络吞吐量网络吞吐量网络吞吐量:1100Mbps:1100Mbps过滤带宽过滤带宽过滤带宽过滤带宽 :250Mbps:250Mbps CheckPoint UTM-1 570 7.2.2 7.2.2 认识防火墙认识防火墙认识防火墙认识防火墙2)按实现的环境划分Console口4个10/100/100第第10 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2.3 Linux7.2.3 Linux防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构1Linux防火墙的历史防火墙的历史 从从从从1.11.1内核开始,内核开始,内核开始,内核开始,LinuxLinux系统就已经具有包过滤功能了,随着系统就已经具有包过滤功能了,随着系统就已经具有包过滤功能了,随着系统就已经具有包过滤功能了,随着LinuxLinux内核版本的不断升级,内核版本的不断升级,内核版本的不断升级,内核版本的不断升级,LinuxLinux下的包下的包下的包下的包过滤系统经历了如下过滤系统经历了如下过滤系统经历了如下过滤系统经历了如下4 4个阶段:个阶段:个阶段:个阶段:在在在在2.02.0内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是ipfwipfw,管理防火墙的命令工具是,管理防火墙的命令工具是,管理防火墙的命令工具是,管理防火墙的命令工具是ipfwadmipfwadm。在在在在2.22.2内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是内核中,包过滤的机制是ipchainipchain,管理防火墙的命令工具是,管理防火墙的命令工具是,管理防火墙的命令工具是,管理防火墙的命令工具是ipchainsipchains。在在在在2.42.4之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是之后的内核中,包过滤的机制是netfilternetfilter,防火墙的命令工具是,防火墙的命令工具是,防火墙的命令工具是,防火墙的命令工具是iptablesiptables。在在3.10之后的内核中之后的内核中,包过滤机制是包过滤机制是netfilter,管理防火墙的工具有管理防火墙的工具有firewalld、iptables等。等。firewalld的官网:的官网:http:/www.firewalld.org/http:/www.firewalld.org/7.2.3 Linux防火墙历史演进与架构1Linux防第第11 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20242Linux防火墙的架构防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成防火墙系统由以下三层架构的三个子系统组成:内核层的内核层的netfilternetfilter:netfilternetfilter是集成在内核中的一部分是集成在内核中的一部分是集成在内核中的一部分是集成在内核中的一部分 作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。作用是定义、保存相应的过滤规则。提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。netfilternetfilter是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。是表的容器,表是链的容器,而链又是规则的容器。表表表表链链链链规则的分层结构来组织规则规则的分层结构来组织规则规则的分层结构来组织规则规则的分层结构来组织规则中间层服务程序中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的它将用户配置的规则交由内核中的netfilter来读取来读取,从而调整防火墙规则。从而调整防火墙规则。用户层工具用户层工具:是是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。系统为用户提供的用来定义和配置防火墙规则的工具软件。7.2.3 Linux7.2.3 Linux防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构2Linux防火墙的架构7.2.3 Linux防火墙历史第第12 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024表表链链规则的结构来组织规则规则的结构来组织规则7.2.3 Linux7.2.3 Linux防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构防火墙历史演进与架构表链规则的结构来组织规则7.2.3 Linux防火墙历第第13 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2.4 RHEL77.2.4 RHEL7中防火墙的构件中防火墙的构件中防火墙的构件中防火墙的构件 RHEL RHEL 7 7中中中中引引引引入入入入了了了了一一一一种种种种与与与与netfilternetfilter交交交交互互互互的的的的新新新新的的的的中中中中间间间间层层层层服服服服务务务务程程程程序序序序firewalld(firewalld(旧旧旧旧版版版版中中中中的的的的iptablesiptables、ip6tablesip6tables和和和和ebtablesebtables等等等等仍仍仍仍保保保保留留留留),),firewalldfirewalld是是是是一一一一个个个个可可可可以以以以配配配配置置置置和和和和监监监监控控控控系系系系统统统统防防防防火火火火墙墙墙墙规规规规则则则则的的的的系系系系统统统统服服服服务务务务程程程程序序序序或或或或守守守守护护护护进进进进程程程程,该该该该守守守守护护护护进进进进程程程程具具具具备备备备了了了了对对对对IPv4IPv4、IPv6IPv6和和和和ebtablesebtables等等等等多多多多种种种种规规规规则则则则的的的的监监监监控控控控功功功功能能能能,不不不不过过过过firewalldfirewalld底底底底层层层层调调调调用用用用的的的的命命命命令令令令仍仍仍仍然然然然是是是是iptablesiptables等。等。等。等。firewalldfirewalld防火墙体系结构如图防火墙体系结构如图防火墙体系结构如图防火墙体系结构如图7-27-2所示。所示。所示。所示。7.2.4 RHEL7中防火墙的构件RHEL 7中引入了一第第14 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2.4 RHEL77.2.4 RHEL7中防火墙的构件中防火墙的构件中防火墙的构件中防火墙的构件在在RHEL7中用户层的配置中用户层的配置firewalld防火墙规则的工具有以下三种防火墙规则的工具有以下三种:图形工具图形工具firewall-config。命令行工具命令行工具firewall-cmd。直接编辑直接编辑/etc/firewalld/目录中扩展名为目录中扩展名为.xml的一系列配置文件。的一系列配置文件。为为了了简简化化防防火火墙墙管管理理,firewalld将将所所有有网网络络流流量量划划分分为为多多个个区区域域。根根据据数数据据包包源源IP地地址址或或传传入入网网络络接接口口等等条条件件,流流量量将将转转入入相相应应区区域域的的防防火火墙墙规规则则,firewalld提提供供的的几几种种预预定定义义的的区区域域及及防防火火墙墙初初始始规则见表规则见表7-2。7.2.4 RHEL7中防火墙的构件在RHEL7中用户层的第第15 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.2.4 RHEL77.2.4 RHEL7中防火墙的构件中防火墙的构件中防火墙的构件中防火墙的构件区域(zone)区域中包含的初始规则trusted(受信任的)允许所有流入的数据包。home(家庭)拒绝流入的数据包,允许外出及服务ssh,mdns,ipp-client,samba-client与dhcpv6-client。internal(内部)拒绝流入的数据包,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。public(公开)拒绝流入的数据包,允许外出及服务ssh、dhcpv6-client,新添加的网络接口缺省的默认区域。external(外部)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client,默认启用了伪装。dmz(隔离区)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh。block(阻塞)拒绝流入的数据包,除非与输出流量数据包相关。drop(丢弃)任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。7.2.4 RHEL7中防火墙的构件区域(zone)区域中第第16 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024数数据据包包要要进进入入到到内内核核必必须须要要通通过过这这些些区区域域(zone)中中的的一一个个,不不同同的的区区域域里里预预定定义义的的防防火火墙墙规规则则不不一一样样(即即信信任任度度或或过过滤滤的的强强度度不不一一样样),人人们们可可以以根根据据计计算算机机所所处处的的不不同同的的网网络络环环境境和和安安全全需需求求将将网网卡卡连连接接到到相相应应区区域域(默默认认区区域域是是public),并并对对区区域域中中现现有有规规则则进进行行补补充充完完善善,进进而而制制定定出出更更为为精精细细的的防防火火墙墙规规则则来来满满足足网网络络安安全全的的要要求求。一一块块物物理理网网卡卡可可以以有有多多个个网网络络连连接接(逻逻辑辑连连接接),一一个个网网络络连连接接只只能能连连接接一一个个区区域域,而而一一个区域可以接收多个网络连接。个区域可以接收多个网络连接。根据不同的语法来源根据不同的语法来源,firewalld包含的规则有以下三种:包含的规则有以下三种:标准规则标准规则:利用利用firewalld的基本语法规范所制定或添加的防火墙规则。的基本语法规范所制定或添加的防火墙规则。直接规则直接规则:当当firewalld的基本语法表达不够用时的基本语法表达不够用时,通过手动编码的方式直接利用其底层的通过手动编码的方式直接利用其底层的iptables或或ebtables的语法规则所制定的防火墙规则。的语法规则所制定的防火墙规则。富规则富规则:firewalld的基本语法未能涵盖的的基本语法未能涵盖的,通过富规则语法制定的复杂防火墙规则。通过富规则语法制定的复杂防火墙规则。7.2.4 RHEL77.2.4 RHEL7中防火墙的构件中防火墙的构件中防火墙的构件中防火墙的构件数据包要进入到内核必须要通过这些区域(zone)中的一个,不第第17 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024公网地址与私网地址公网地址与私网地址公网地址与私网地址公网地址与私网地址 IPIP地址的分配与管理由地址的分配与管理由地址的分配与管理由地址的分配与管理由ICANNICANN管理机构负责,公网地址必须经申请后才能合法使用。管理机构负责,公网地址必须经申请后才能合法使用。管理机构负责,公网地址必须经申请后才能合法使用。管理机构负责,公网地址必须经申请后才能合法使用。为解决为解决为解决为解决IPIP地址资源紧缺问题,地址资源紧缺问题,地址资源紧缺问题,地址资源紧缺问题,IANAIANA机构将机构将机构将机构将IPIP地址划分了一部分出来,将其规定为私网地址,只能在局地址划分了一部分出来,将其规定为私网地址,只能在局地址划分了一部分出来,将其规定为私网地址,只能在局地址划分了一部分出来,将其规定为私网地址,只能在局域网内使用,不同局域网可重复使用。域网内使用,不同局域网可重复使用。域网内使用,不同局域网可重复使用。域网内使用,不同局域网可重复使用。可使用的私网地址有:可使用的私网地址有:可使用的私网地址有:可使用的私网地址有:一个一个一个一个A A类地址:类地址:类地址:类地址:10.0.0.0/810.0.0.0/8 1616个个个个B B类地址:类地址:类地址:类地址:172.16.0.0/16172.31.0.0/16172.16.0.0/16172.31.0.0/16 256256个个个个C C类地址:类地址:类地址:类地址:192.168.0.0/16192.168.0.0/16。任务任务任务任务7.2.5 7.2.5 NATNAT技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程公网地址与私网地址任务7.2.5 NAT技术的概念、分类与第第18 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024任务任务任务任务7.2.5 7.2.5 NATNAT技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程1NAT服务的概念及分类服务的概念及分类 NAT(Network AddressTranslation,NAT(Network AddressTranslation,网络地址转换网络地址转换网络地址转换网络地址转换)是一种用另一个地址来替换是一种用另一个地址来替换是一种用另一个地址来替换是一种用另一个地址来替换IPIP数据包头部中的源地数据包头部中的源地数据包头部中的源地数据包头部中的源地址或目的地址的技术。址或目的地址的技术。址或目的地址的技术。址或目的地址的技术。根据根据NAT替换数据包头部中地址的不同替换数据包头部中地址的不同,NAT分为源地址转换分为源地址转换SNAT(Source NAT)(IP伪装伪装)和目的地址转和目的地址转换换DNAT(Destination NAT)两类。两类。SNAT技术主要应用于在企事业单位内部使用私网技术主要应用于在企事业单位内部使用私网IP地址的所有计算机能够访问互联网上服务器地址的所有计算机能够访问互联网上服务器,实现共享上网实现共享上网,并且能隐藏内部网络的并且能隐藏内部网络的IP地址。在地址。在RHEL7系统内置的防火墙中的系统内置的防火墙中的IP伪装功能就是伪装功能就是SNAT技术具体实现方式。技术具体实现方式。DNAT技术则能让互联网中用户穿透到企事业的内部网络技术则能让互联网中用户穿透到企事业的内部网络,访问使用私网访问使用私网IP地址的服务器地址的服务器,即无公网即无公网IP的内网服务器发布到互联网的内网服务器发布到互联网(如发布如发布Web网站和网站和FTP站点等站点等)。任务7.2.5 NAT技术的概念、分类与工作过程1NAT第第19 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024任务任务任务任务7.2.5 7.2.5 NATNAT技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程技术的概念、分类与工作过程2NAT服务器的工作过程服务器的工作过程NAT服务器的工作过程如图服务器的工作过程如图7-3所示。所示。任务7.2.5 NAT技术的概念、分类与工作过程2NAT第第20 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20247.3 7.3 项目实施项目实施项目实施项目实施任务任务任务任务7-1 7-1 主机名的配置主机名的配置主机名的配置主机名的配置在RHEL7中,引入了静态(static)、瞬态(transient)和灵活(pretty)三种主机名。“静态静态静态静态”主机名主机名主机名主机名也称为内核主机名也称为内核主机名也称为内核主机名也称为内核主机名,是系统在启动时从是系统在启动时从是系统在启动时从是系统在启动时从/etc/hostname/etc/hostname自动初始化的主自动初始化的主自动初始化的主自动初始化的主机名。机名。机名。机名。“瞬态瞬态”主机名主机名是在系统运行时临时分配的主机名是在系统运行时临时分配的主机名是在系统运行时临时分配的主机名是在系统运行时临时分配的主机名,例如例如例如例如,通过通过通过通过DHCPDHCP或或或或DNSDNS服务器分服务器分服务器分服务器分配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则,“灵活灵活灵活灵活”主机名主机名主机名主机名是允许使用自由形式是允许使用自由形式是允许使用自由形式是允许使用自由形式(可包括特殊可包括特殊可包括特殊可包括特殊/空白字符空白字符空白字符空白字符)的主机名的主机名的主机名的主机名,以展示给终端以展示给终端以展示给终端以展示给终端用户用户用户用户(如如如如Toms Computer)Toms Computer)。7.3 项目实施任务7-1 主机名的配置第第21 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024选项说明如下:选项说明如下:status可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。-static仅查看静态(永久)主机名。-transient仅查看瞬态(临时)主机名。-pretty仅查看灵活主机名。任务任务任务任务7-1 7-1 主机名的配置主机名的配置主机名的配置主机名的配置hostnamectl status -static|-transient|-pretty 1.1.查看主机名查看主机名查看主机名查看主机名查看主机名的命令一般格式如下查看主机名的命令一般格式如下:rootdyzx#hostnamectl status Static hostname: Icon name:computer-vm Chassis:vm Machine ID:ebcaefed3f4d4359a7113ab85ec89629 Boot ID:76f5e89582ff4e62930bfc2f5ee33aa6 Virtualization:vmware Operating System:Red Hat Enterprise Linux Server 7.3(Maipo)CPE OS Name:cpe:/o:redhat:enterprise_linux:7.3:GA:server Kernel:Linux 3.10.0-514.el7.x86_64 Architecture:x86-64选项说明如下:任务7-1 主机名的配置hostnamect第第22 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024查看、修改瞬态查看、修改瞬态(临时临时)主机名的命令如下主机名的命令如下:任务任务任务任务7-1 7-1 主机名的配置主机名的配置主机名的配置主机名的配置hostnamectl -static|-transient|-pretty set-hostname 2.2.修改主机名修改主机名修改主机名修改主机名修改主机名的命令一般格式如下修改主机名的命令一般格式如下:rootdyzx#hostnamectl -transient/查看修改前的瞬态主机名rootdyzx#hostnamectl -transient set-hostname server1/修改瞬态主机名rootdyzx#hostnamectl -transient/查看修改后的瞬态主机名server1查看、修改静态查看、修改静态(永久永久)主机名的命令如下主机名的命令如下:root dyzx#hostnamectl -static/查看修改前的静态主机名rootdyzx#hostnamectl -static set-hostname dyzx#hostnamectl -static/查看修改后的静态主机名查看、修改瞬态(临时)主机名的命令如下:任务7-1 主机名第第23 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024当用hostnamectl命令修改静态主机名后,/etc/hostname文件中保存的主机名会被自动更新,而/etc/hosts文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新/etc/hosts文件,在其中添加新的主机名与IP地址的映射关系任务任务任务任务7-1 7-1 主机名的配置主机名的配置主机名的配置主机名的配置rootdyzx#bash/重新开启Shellrootserver2#2.2.修改修改修改修改主机名主机名主机名主机名查看在设置新的静态主机名后查看在设置新的静态主机名后,会立即修改内核主机名会立即修改内核主机名,只是在提示符中只是在提示符中“”后面的主机名还未自后面的主机名还未自动刷新动刷新,此时此时,只要执行重新开启只要执行重新开启Shell登录命令登录命令,便可在提示符中显示新的主机名。便可在提示符中显示新的主机名。rootserver2#vim /etc/hosts127.0.0.1localhost localhost.localdomain localhost4 localhost4.localdomain4:1localhost localhost.localdomain localhost6 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起名为灵活主机名的缘由。任务任务任务任务7-1 7-1 主机名的配置主机名的配置主机名的配置主机名的配置root server2#hostnamectl set-hostname Zhang3 s Computerroot server2#hostnamectl -static/查看静态主机名zhang3scomputerroot server2#hostnamectl -transient/查看瞬态主机名zhang3scomputer root server2#hostnamectl -pretty/查看灵活主机名Zhang3s Computer 2.2.修改修改修改修改主机名主机名主机名主机名 同时修改静态、瞬态和灵活三种主机名的命令如下同时修改静态、瞬态和灵活三种主机名的命令如下同时修改静态、瞬态和灵活三种主机名的命令如下同时修改静态、瞬态和灵活三种主机名的命令如下:由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会第第25 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 2024 任任任任何何何何一一一一台台台台计计计计算算算算机机机机要要要要连连连连接接接接到到到到网网网网络络络络,都都都都需需需需要要要要对对对对该该该该机机机机的的的的网网网网络络络络接接接接口口口口进进进进行行行行配配配配置置置置,而而而而对对对对网网网网络络络络接接接接口口口口的的的的配配配配置置置置,实实实实际际际际上上上上就就就就是是是是在在在在网络接口上添加一个或多个网络连接。网络接口上添加一个或多个网络连接。网络接口上添加一个或多个网络连接。网络接口上添加一个或多个网络连接。添加网络连接的方式有两种:添加网络连接的方式有两种:添加网络连接的方式有两种:添加网络连接的方式有两种:添添加加临临时时生生效效的的网网络络连连接接:该该方方式式适适合合在在调调试试网网络络时时临临时时使使用用。这这种种方方式式虽虽然然在在设设置置后后能能马马上上生生效效,但但由由于于是是直直接接修修改改目目前前运运行行内内核核中中的的网网络络参参数数,并并未未改改动动网网络络连连接接配配置置文文件件中中的的内内容容,因因此此在在系系统统或或网网络络服务重启后会失效。服务重启后会失效。持持久久生生效效的的网网络络连连接接配配置置:此此方方式式是是对对存存放放网网络络连连接接参参数数的的配配置置文文件件进进行行修修改改或或设设置置,适适合合在在长长期期稳稳定定运行的计算机上使用。其配置工具有运行的计算机上使用。其配置工具有vim、nmtui和和nmcli等。等。任务任务任务任务7-2 7-2 网络接口网络接口网络接口网络接口(网卡网卡网卡网卡)的配置的配置的配置的配置任何一台计算机要连接到网络,都需要对该机的网络接口进行配置,第第26 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20241 1使用使用使用使用ipip命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接命令用法功能ip -s addr show 网卡设备名查看网卡在网络层的配置信息,加-s表示增添显示相关统计信息,如接收(RX)及传送(TX)的数据包数量等ip -s link show 网卡设备名查看网卡在链路层的配置信息ip -4 addr add|del IP地址/掩码长度 dev 网卡连接名ip -6 addr add|del IP地址/掩码长度 dev 网卡连接名添加或删除网卡的临时IPv4地址添加或删除网卡的临时IPv6地址ip link set dev 网卡的设备名 down|up禁用|启用指定网卡任务任务任务任务7-2 7-2 网络接口网络接口网络接口网络接口(网卡网卡网卡网卡)的配置的配置的配置的配置1使用ip命令配置临时生效的网络连接命令用法功能ip 第第27 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20241 1使用使用使用使用ipip命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接【例例7-1】在RHEL7-1主机上,为网卡ens33临时添加一个IP地址10.1.80.61/24,并查看其配置结果。在重启网卡后再次查看配置的结果。操作的命令如下:任务任务任务任务7-2 7-2 网络接口网络接口网络接口网络接口(网卡网卡网卡网卡)的配置的配置的配置的配置rootRHEL7-1#ip addr show ens33/查看接口ens33当前的IP地址和子网掩码2:ens33:mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.80.255 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft forever已启用的活动接口的状态为UP,禁用接口的状态为DOWN。link行指定网卡设备的硬件(MAC)地址。inet行显示IPv4地址和网络前缀(子网掩码)。广播地址、作用域和网卡设备的名称。inet6行显示IPv6信息。1使用ip命令配置临时生效的网络连接任务7-2 网络接第第28 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20241 1使用使用使用使用ipip命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接命令配置临时生效的网络连接任务任务任务任务7-2 7-2 网络接口网络接口网络接口网络接口(网卡网卡网卡网卡)的配置的配置的配置的配置rootRHEL7-1#ip addr add 10.1.80.66/24 dev ens33/在接口ens33上添加临时IP地址rootRHEL7-1#ip addr show ens332:ens33:mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:3d:b8:92 brd ff:ff:ff:ff:ff:ff inet 10.1.80.61/24 brd 10.1.61.255 scope global ens33 valid_lft forever preferred_lft forever inet 10.1.80.66/24 scope global ens33 valid_lft forever preferred_lft forever inet6 fe80:1671:5718:ea13:ef42/64 scope link valid_lft forever preferred_lft foreverrootRHEL7-1#ip link set dev ens33 downrootRHEL7-1#ip link set dev ens33 up rootRHEL7-1#ip addr show/显示所有网络接口的当前IP地址和子网掩码/省略显示结果1使用ip命令配置临时生效的网络连接任务7-2 网络接第第29 页页LinuxLinux网络操作系统配置与管理网络操作系统配置与管理17 六月六月 20242 2用用用用vimvim直接编辑持久生效的网卡配置文件直接编辑持久生效的网卡配置文件直接编辑持久生效的网卡配置文件直接编辑持久生效的网卡配置文件【例例7-2】在RHEL7-1主机上,通过编辑网络连接配置文件为网卡ens33配置网络参数。其配置方法如下:任务任务任务任务7-2 7-2 网络接口网络接口网络接口网络接口(网卡网卡网卡网卡)的配置的配置的配置的配置rootRHEL7-1#vim /etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet/指定网络类型为以太网模式BOOTPROTO=none/指定启动地址协议的获取方式(dhcp或bootp为自动获取,none/为放弃自动获取,一般用于网卡绑定时,static为静态指定IP DEFROUTE=yes/是否把这个ens38设置为默认路由IPV4_FAILURE_FATAL=no/如果IPv4配置失败,设备是否被禁用IPV6INIT=yes/允许在该网卡上启动IPV6的功能IPV6_AUTOCONF=yes/是否使用IPV6地址的自动配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33/网络连接标识名UUID=00decbce-3c43-47f1-82a6-627cbd80188f/网卡全球通用唯一识别码DEVICE=ens33/网卡设备名ONBOOT=yes/设置系统或网络服务在启动时是否启动该接口IPADDR=10.1.80.61/设置IP地址PREFIX=24/设置子网掩码GATEWAY=10.1.80.254/设置网关DNS1=8.8.8.8/设置DNS的
展开阅读全文