第七章 防火墙

课前准备：

设置静态IP

[root@server ~]# nmcli connection modify ens160 ipv4.method manual ipv4.addresses 192.168.17.128/24 ipv4.gateway 192.168.17.2 ipv4.dns 114.114.114.114  [root@server ~]# nmcli connection reload 
[root@server ~]# nmcli connection up ens160 
连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/2）

#  注意： 设置 ipv4.addresses时，若不写子网掩码就会默认将其设置32位子网掩码

1.什么是防火墙

        防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。

防火墙与SElinux的区别

防火墙和 SELinux 是为了保护计算机系统安全而设计的两种不同的技术。

        防火墙是一种安全工具，用于控制电脑系统与外部网络之间的数据传输。它可以根据规则过滤进入和离开计算机的流量，以保护计算机系统不受网络攻击。

        SELinux 是 Linux 操作系统的一个安全子系统，它通过强制访问控制（MAC）机制来限制用户和应用程序访问特定系统资源的能力。与防火墙不同，SELinux更广泛地控制系统中每个进程对文件、网络连接和其他资源的访问。它可以确保只有授权的实体访问系统资源。

        因此，防火墙主要关注网络层面的安全，而 SELinux 则更加注重系统层面的安全。当运行防火墙时，即使攻击者能够入侵系统，但如果 SELinux 已配置正确，则会限制攻击者对受损系统的访问权限。反之，如果关闭防火墙，而只依赖 SELinux，则攻击者可能能够远程利用系统漏洞。因此，防火墙与 SELinux 都可以提供额外层面的安全保护，并建议在系统中同时使用这两个技术。

1.1.分类

        硬件防火墙:由厂商设计好的主机硬件，其操作系统主要以提供数据包数据的过滤机制为主，并去掉不必要的功能

        软件防火墙:保护系统网络安全的一套软件 (或称为机制)，如Netfilter (数据包过滤机制)

1.2 Netfilter(数据包过滤)(俗称防火墙)

1.2.1.定义

        netfilter 是一个工作在 Linux 内核的网络数据包处理框架，用于分析进入主机的网络数据包将数据包的头部数据(硬件地址，软件地址，TCP、UDP、ICMP等)提取出来进行分析，以决定该连接为放行或抵挡的机制，主要用于分析OSI七层协议的2、3、4层

1.2.2.Netfilter分析内容

        拒绝让Internet的数据包进入主机的某些端口

        拒绝某些来源IP的数据包进入

        拒绝让带有某些特殊标志 (flag)的数据包进入，如: 带有SYN的主动连接标志

        分析MAC地址决定是否连接

1.3 防火墙无法完成的任务

        防火墙并不能杀毒或清除木马程序(假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的)

        防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络无用或滥用的情况)

1.4.iptables 与 firewalld 区别

        netfilter数据包过滤机制是由linux内核内建的，不同的内核版本使用的设置防火墙策略的软件不一样，从红帽7系统开始firewalld服务取代了iptables服务

        iptables 与 firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具而已，即只是一种服务，而真正使用规则干活的是内核的netfilter        

        总之，当前Linux系统中存在多个防火墙管理工具，旨在方便运维人员管理 Linux 系统中的防火墙策略，我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣，但它们在防火墙策略的配置思路上是保持一致的

        注意：一台电脑一般只支持一种防火墙控制软件

2.iptables

        早期的 Linux 系统中，默认使用 iptables 防火墙来管理服务和配置防火墙，虽然新型的firewalld 防火墙管理服务已经被投入使用多年，但iptables 在当前生产环境中还继续使用，具有顽强的生命力

2.1.iptables执行原则

2.1.1.原则

        防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。
        如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略.

2.1.2.防火墙规则

        通 (放行、允许)

        堵 (阻止、拒绝)

        当默认策略为拒绝时，就要设置允许规则，否则数据包都进不来，若默认策略为允时，就要设置拒绝规则，否则数据包都能进来，防火墙也就失去了作用

2.2.规则链

2.2.1.概念

        iptables 服务把用于过滤流量的策略条目称之为规则，多条规则组成一个规则链

2.2.2.分析

        数据包经过iptables处理必须闯过5个控制关卡，每个关卡放置5个规则链用于检查规则和处理每一道关卡中有多个规则，数据报文必须按顺序一个一个匹配这些规则，这些规则串起来就像条链，所以我们把这些关卡都叫规则链

流程图：

2.2.3.规则链分类

INPUT链: 数据包流入时，即数据包从内核流入用户空间。

OUTPUT链:向外发送数据包(流出)时，即数据用户空间流出到内核空间，一般不配置

FORWARD链:处理数据包转发时，即在内核空间中，从一个网络接口进入，到另一个网络接!去(转发过滤)

PREROUTING链: 在对数据包作路由选择之前，即互联网进入局域网

POSTROUTING链:在对数据包作路由选择之后，即局域网出互联网

注意:从内网向外网发送的流量一般都是可控且良性的，因此使用最多的是INPUT 规则链，该规则链可以增大黑客人员从外网入侵内网的难度

例:物业管理公司有两条规定:
        禁止小商小贩进入社区;
        各种车辆在进入社区时都要登记

     这两条规定是用于社区正门的(流量必须经过的地方)，而不是每家的防盗门。根据防火墙策略的匹配顺序，可能会存在多种情况
     如:来访人员是小商小贩，则会被保安拒之门外，也就无需再对车辆进行登记。若来访人员乘坐一辆汽车进入社区正门，则“禁止小商小贩进入社区”的第一条规则就没有被匹配到，因此按照顺序匹配第二条策略，即需要对车辆进行登记。如果是社区居民要进入正门，则这两条规定都不会匹配到，因此会执行默认的放行策略

2.2.4.规则链之间的匹配顺序

主机型防火墙:

        入站数据(来自外界的数据包,且目标地址是防火墙本机): PREROUTING-->INPUT ->本机的应用程序

        出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序-> OUTPUT-->POSTROUTING

网络型防火墙: 转发数据(需要经过防火墙转发的数据包):PREROUTING --> FORWARD ->POSTROUTING

规则链内的匹配顺序

        自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)

        若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

2.2.5.iptables 流量处理动作

当规则链匹配后应采用以下几种动作来处理匹配流量

        ACCEPT:允许流量通过

        REJECT: 拒绝流量通过，拒绝后回复拒绝信息

        LOG: 记录日志信息

        DROP:拒绝流量通过，流量丢弃不响应、

例:若某天您正在家里看电视，突然听到有人敲门，透过防盗门的猫眼一看是推销商品的，便会0在不需要的情况下开门并拒绝他们(REJECT)。但如果您看到的是债主带了十几个小弟来讨债此时不仅要拒绝开门，还要默不作声，伪装成自己不在家的样子 (DROP)

2.3 iptables表

        规则链容纳了各种流量匹配规则，规则表则存储了不同功能对应的规则链，总之表里有链，链里有规则

2.3.1.四种规则表

        filter表: 用于对数据包过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT.REJECT、LOG)，包含三个规则链，INPUT、FORWARD、OUTPUT，所谓的防火墙其实基本上是指这张表上的过滤规则，常用

        nat表: network address translation，网络地址转换功能，主要用于修改数据包的源、目标IP池址、端口，包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING

        mangle表: 拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type ofService，服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，由于需要相应的路由设备支持，因此应用并不广泛，包含全部五个规则链

        raw表: 是自1.2.9以后版本的iptables新增的表，用于是否对该数据包进行状态跟踪，在匹配数据包时，raw表的规则要优先于其他表，包含两个规则链，OUTPUT、PREROUTING注意:最终定义的防火墙规则链，都会添加到这四张表中的其中一张表中，如图:

2.4.安装iptables

2.4.1.预处理

RHEL(Centos)9中默认使用的是firewalld，且与iptables之间有冲突，如果需要使用iptables需要先停止firewalld再进行安装:

[root@server ~]# systemctl stop firewalld
[root@server ~]# systemctl disable firewalld

在RHEL9中安装iptables:

[root@server ~]# yum list  | grep  iptables   # 查询安装包名

       # 在RHEL9中ipables安装包名字发生改变，因此需要输入以下命令

[root@server ~]# yum install iptables-nft-services -y

在RHEL8.5 中安装iptables:

[root@RHEL8 ~]# yum list  | grep iptables # 查询安装包名

[root@RHEL8 ~]# yum install iptables-services -y

2.4.2.管理命令

[root@server ~]# systemctl start iptables                #  开启防火墙
[root@server ~]# systemctl enable iptables            # 设置开机启动
[root@server ~]# systemctl  status  iptables           # 查看防火墙状态

[root@server ~]# service iptables save                    # 保存设置
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]

# 注意: 保存设置，否则重启后会恢复默认设置，不能用systemctl save iptables

2.4.3.规则链存储文件

          [root@server ~]# vim/etc/sysconfig/iptables

2.5.iptables 命令

2.5.1.原则：

        iptables 命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，若匹配成则iptables 会根据策略规则所预设的动作来处理这些流量，由于策略规则的匹配顺序是从上至下，则要把较为严格、优先级较高的策略规则放到前面，以免发生错误

2.5.2.格式:

简化:

         iptables         [-t 表名]         选项         [链名]         [条件]         [-j 控制动作]

详细:

        iptables -t   表名   <-A/I/D/R>   规则链名   [规则号]   <-i/o 网卡名>   -p   协议名 

子网>   --sport   源端口   <-d 目标IP/目标子网>   --dport   目标端口   -j    控制动作

2.5.3.参数：

参数	作用
-t	对指定的表进行操作，table必须是raw，nat，filter，mangle中的一个，默认是filter
-p	指定要匹配的数据包协议类型
-s	匹配源地址IP/MASK，若有!表示取反
-d	匹配目的地址IP/MASK
-i   网卡名	匹配从这块网卡流入的数据
-o   网卡名	匹配从这块网卡流出的数据
-L	列出规则链上的所有规则，如果没有指定链，列出表上所有链的所有规则
-A	在规则链的末尾加入新规则
-I  num	在规则链的头部加入新规则
-D  num	删除指定规则
-R  num	替换/修改第几条规则
-P	设置默认策略
-F	清空所有规则(F:flush是”冲洗、冲掉”的意思)
-N	创建新规则链
-X	删除指定规则链，这个链必须没有被其它任何规则引用，而且这条链上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链
-E	用指定的新名字去重命名指定的链
-Z	把指定链，或者表中的所有链上的所有计数器清零
-j	满足某条件时该执行什么样的动作
-h	显示帮助信息

2.5.4 实例：

查看已有的防火墙规则链：

        [root@server ~]# iptables -nxvL --line     # 默认打开的时filter表
             # -n：显示源(IP)   

             #  -x：接收数据包的存储单位自动转化KB\MB     

             # -v：显示规则链的详细信息   

             # -L：列出所有的规则链

             # --line：增加行号

参数解析：

        num ：行号（标识规则链的位置）     

        pkts：收发数据包的数量     

        bytes  ：字节数       

        target：动作（ACCEPT：放行；REJECT：有报告的拒绝）   

        prot：匹配规则的网络层协议，如 TCP、UDP、ICMP 等  端口

        opt：可选参数，用于指定其他匹配规则，如 –s 指定源 IP 地址，-d 指定目标 IP 地址。

        in:入站网卡

        out:出站网卡

        source：来源

        destination：目标

清空以存在的规则链

[root@server ~]# iptables -F       # 清空规则
[root@server ~]# iptables -nvxL --line     # 查看
Chain INPUT (policy ACCEPT 53 packets, 3056 bytes)
num      pkts      bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 552 packets, 51489 bytes)
num      pkts      bytes target     prot opt in     out     source               destination         
[root@server ~]# service  iptables  save                 # 保存

[root@server ~]# systemctl restart iptables.service   # 重启SElinux
[root@server ~]# iptables -nvxL --line         # 再次查看规则表中的规则链

注意： 若重启前没有保存，则重启后被清空的规则链会在次出现。因此注意保存是命令的使用

2.5.5 实验

实验1: 搭建web服务器，i设置任何人都能通过80端口访问http服务

[root@server ~]# yum install httpd -y     # 安装apache
[root@server ~]# mkdir /www
[root@server ~]# echo "hello word" > /www/index.html
[root@server ~]# vim /etc/httpd/conf/httpd.conf 

[root@server ~]# systemctl restart httpd

[root@server ~]# vim /etc/httpd/conf/httpd.conf 
[root@server ~]# iptables -A INPUT  -p tcp --dport 80 -j ACCEPT
[root@server ~]# service  iptables  save       # 保存规则
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]


此时就可以使用浏览器访问该网站

实验2:禁止所有人使用ssh进行远程登录