一、實(shí)驗(yàn)?zāi)康?/h1>

1、理解防火墻服務(wù)；

2、掌握防火墻規(guī)則的設(shè)計(jì)與配置；

3、掌握通過防火墻對(duì)業(yè)務(wù)進(jìn)行安全防護(hù)。

二、實(shí)驗(yàn)學(xué)時(shí)

2學(xué)時(shí)

三、實(shí)驗(yàn)類型

設(shè)計(jì)性

實(shí)驗(yàn)需求

1、硬件

每個(gè)人配備計(jì)算機(jī)1臺(tái)。

2、軟件

Windows操作系統(tǒng)，安裝Oracle VM VirtualBox軟件，安裝MobaXterm軟件。

3、網(wǎng)絡(luò)

本地主機(jī)與虛擬機(jī)能夠訪問互聯(lián)網(wǎng)，不使用DHCP服務(wù)。

4、工具

無(wú)。

五、實(shí)驗(yàn)任務(wù)

1、完成防火墻服務(wù)的管理；

2、完成防火墻日志的配置；

3、完成使用防火墻提升服務(wù)的安全性。

六、實(shí)驗(yàn)環(huán)境

1、本實(shí)驗(yàn)需要VM 1臺(tái)；

2、本實(shí)驗(yàn)VM配置信息如下表所示；

3、本實(shí)驗(yàn)拓?fù)鋱D。

無(wú)。

4、本實(shí)驗(yàn)操作演示視頻。

無(wú)

七、實(shí)驗(yàn)內(nèi)容步驟

1、管理防火墻服務(wù)

對(duì)防火墻服務(wù)的管理包括查看防火墻Firewalld服務(wù)狀態(tài)、開啟、關(guān)閉、重啟、重新載入防火墻策略等。

2、配置防火墻日志策略

對(duì)防火墻日志的配置有全局日志配置和規(guī)則日志配置兩部分。全局日志配置是對(duì)防火墻日志規(guī)則進(jìn)行配置，防火墻日志服務(wù)由系統(tǒng)rsyslog服務(wù)進(jìn)行管理，日志默認(rèn)存放在/var/log/firewalld日志文件中，日志文件基于日期時(shí)間自動(dòng)歸檔。規(guī)則日志配置是設(shè)置防火墻觸發(fā)特定防火墻規(guī)則時(shí)記錄日志的方式。

2.1 全局日志配置

本步驟通過修改防火墻與rsyslog服務(wù)的配置文件，對(duì)防火墻日志字段、日志文件存放路徑、日志文件分割方法等進(jìn)行自定義配置，完成對(duì)防火墻全局日志的配置，實(shí)現(xiàn)以下3個(gè)目標(biāo)：

（1）實(shí)現(xiàn)防火墻對(duì)單播網(wǎng)絡(luò)通信的日志記錄。

（2）防火墻日志存放目錄變更為/var/log/firewalldlog。

（3）防火墻日志記錄等級(jí)調(diào)整為所有等級(jí)的日志均記錄。

2.2 規(guī)則日志配置

在配置防火墻規(guī)則時(shí)，可定義由該規(guī)則產(chǎn)生的日志的記錄方式。本步驟新增一條防火墻規(guī)則并實(shí)現(xiàn)下述3個(gè)目標(biāo)：

（1）允許本地主機(jī)（172.20.1.134）通過httpd服務(wù)訪問服務(wù)器。

（2）實(shí)現(xiàn)觸發(fā)規(guī)則的通信的日志記錄。

（3）設(shè)置日志記錄的頻率為每秒最多3條。

3、使用firewall-cmd工具管理防火墻策略

案例1：指定端口和協(xié)議允許訪問

需求描述：

（1）打開443/TCP端口。

（2）永久打開3690/TCP端口。

（3）永久打開100-500/TCP端口（指定范圍內(nèi)端口全部打開）。

配置方法：

案例2：指定服務(wù)允許/禁止訪問

需求描述：

（1）允許訪問本機(jī)的http、https服務(wù)。

（2）允許訪問本機(jī)的zabbix-server服務(wù)。

（3）禁止訪問本機(jī)的cockpit、dhcpv6-client服務(wù)。

（4）啟用SYN、ICMP洪泛攻擊保護(hù)。

配置方法：

案例3：指定IP地址允許/禁止訪問

需求描述：

（1）允許來(lái)自IP地址為172.20.1.134的主機(jī)的流量通過防火墻。

（2）禁止來(lái)自IP地址為172.20.1.135的主機(jī)的流量通過防火墻。

配置方法：

案例4：遠(yuǎn)程管理服務(wù)安全性提升

需求描述：

（1）允許地址范圍172.20.1.134/24內(nèi)的客戶端遠(yuǎn)程連接服務(wù)器，進(jìn)行遠(yuǎn)程管理維護(hù)。

（2）客戶端遠(yuǎn)程連接服務(wù)器時(shí)，每分鐘最多允許5次遠(yuǎn)程連接，禁止頻繁請(qǐng)求。

配置方法：

案例5：數(shù)據(jù)庫(kù)服務(wù)安全性提升

需求描述：

（1）本地客戶端（172.20.1.134）能夠使用MySQL WorkBench連接MariaDB數(shù)據(jù)庫(kù)。

（2）本地客戶端（172.20.1.134）能夠通過瀏覽器訪問phpMyAdmin管理界面，進(jìn)行數(shù)據(jù)庫(kù)管理。

配置方法：

案例6：文件傳輸服務(wù)安全性提升

需求描述：

（1）允許地址范圍172.20.1.134/24內(nèi)的客戶端通過主動(dòng)與被動(dòng)模式訪問FTP服務(wù)器。

配置方法：

創(chuàng)作說(shuō)明

配圖圖書：Linux服務(wù)器構(gòu)建與運(yùn)維管理從基礎(chǔ)到實(shí)戰(zhàn)（基于CentOS 8實(shí)現(xiàn)）

圖書網(wǎng)站：http://linux.book.51xueweb.cn

作者：阮曉龍 馮順磊 董凱倫 于冠軍 張浩林 李朋楠 編著?

出版社：中國(guó)水利水電出版社

ISBN：9787517092025

實(shí)驗(yàn)指導(dǎo)撰寫團(tuán)隊(duì)：徐志豪 李兵兵 毋天翔

實(shí)驗(yàn)指導(dǎo)審核：阮曉龍 馮順磊? ?