一、实验目的

1、理解防火墙服务；

2、掌握防火墙规则的设计与配置；

3、掌握通过防火墙对业务进行安全防护。

二、实验学时

2学时

三、实验类型

设计性

实验需求

1、硬件

每个人配备计算机1台。

2、软件

Windows操作系统，安装Oracle VM VirtualBox软件，安装MobaXterm软件。

3、网络

本地主机与虚拟机能够访问互联网，不使用DHCP服务。

4、工具

无。

五、实验任务

1、完成防火墙服务的管理；

2、完成防火墙日志的配置；

3、完成使用防火墙提升服务的安全性。

六、实验环境

1、本实验需要VM 1台；

2、本实验VM配置信息如下表所示；

3、本实验拓扑图。

无。

4、本实验操作演示视频。

无

七、实验内容步骤

1、管理防火墙服务

对防火墙服务的管理包括查看防火墙Firewalld服务状态、开启、关闭、重启、重新载入防火墙策略等。

2、配置防火墙日志策略

对防火墙日志的配置有全局日志配置和规则日志配置两部分。全局日志配置是对防火墙日志规则进行配置，防火墙日志服务由系统rsyslog服务进行管理，日志默认存放在/var/log/firewalld日志文件中，日志文件基于日期时间自动归档。规则日志配置是设置防火墙触发特定防火墙规则时记录日志的方式。

2.1 全局日志配置

本步骤通过修改防火墙与rsyslog服务的配置文件，对防火墙日志字段、日志文件存放路径、日志文件分割方法等进行自定义配置，完成对防火墙全局日志的配置，实现以下3个目标：

（1）实现防火墙对单播网络通信的日志记录。

（2）防火墙日志存放目录变更为/var/log/firewalldlog。

（3）防火墙日志记录等级调整为所有等级的日志均记录。

2.2 规则日志配置

在配置防火墙规则时，可定义由该规则产生的日志的记录方式。本步骤新增一条防火墙规则并实现下述3个目标：

（1）允许本地主机（172.20.1.134）通过httpd服务访问服务器。

（2）实现触发规则的通信的日志记录。

（3）设置日志记录的频率为每秒最多3条。

3、使用firewall-cmd工具管理防火墙策略

案例1：指定端口和协议允许访问

需求描述：

（1）打开443/TCP端口。

（2）永久打开3690/TCP端口。

（3）永久打开100-500/TCP端口（指定范围内端口全部打开）。

配置方法：

案例2：指定服务允许/禁止访问

需求描述：

（1）允许访问本机的http、https服务。

（2）允许访问本机的zabbix-server服务。

（3）禁止访问本机的cockpit、dhcpv6-client服务。

（4）启用SYN、ICMP洪泛攻击保护。

配置方法：

案例3：指定IP地址允许/禁止访问

需求描述：

（1）允许来自IP地址为172.20.1.134的主机的流量通过防火墙。

（2）禁止来自IP地址为172.20.1.135的主机的流量通过防火墙。

配置方法：

案例4：远程管理服务安全性提升

需求描述：

（1）允许地址范围172.20.1.134/24内的客户端远程连接服务器，进行远程管理维护。

（2）客户端远程连接服务器时，每分钟最多允许5次远程连接，禁止频繁请求。

配置方法：

案例5：数据库服务安全性提升

需求描述：

（1）本地客户端（172.20.1.134）能够使用MySQL WorkBench连接MariaDB数据库。

（2）本地客户端（172.20.1.134）能够通过浏览器访问phpMyAdmin管理界面，进行数据库管理。

配置方法：

案例6：文件传输服务安全性提升

需求描述：

（1）允许地址范围172.20.1.134/24内的客户端通过主动与被动模式访问FTP服务器。

配置方法：

创作说明

配图图书：Linux服务器构建与运维管理从基础到实战（基于CentOS 8实现）

图书网站：http://linux.book.51xueweb.cn

作者：阮晓龙 冯顺磊 董凯伦 于冠军 张浩林 李朋楠 编著 

出版社：中国水利水电出版社

ISBN：9787517092025

实验指导撰写团队：徐志豪 李兵兵 毋天翔

实验指导审核：阮晓龙 冯顺磊