教学课件第7章-安全管理与防火墙.pptx

《教学课件第7章-安全管理与防火墙.pptx》由会员分享，可在线阅读，更多相关《教学课件第7章-安全管理与防火墙.pptx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、教材配套PPT正版可修改课件教学课件第7章-安全管理与防火墙LinuxLinux服务管理与自动化运维服务管理与自动化运维 第七章第七章安全管理与防火墙安全管理与防火墙7.1网络安全概述网络安全概述7.2访问控制机制访问控制机制7.3防火墙防火墙7.4Firealld使用7.5本章本章小结小结LinuxLinux服务管理与自动化运维服务管理与自动化运维 学习目标学习目标网络安全的概念及特征网络安全的概念及特征威胁网络安全的因素威胁网络安全的因素网络安全的防御措施网络安全的防御措施访问控制机制的含义访问控制机制的含义访问控制机制的三种策略访问控制机制的三种策略防火墙概念与分类防火墙概念与分类Fir

2、ewalld的配置管理的配置管理LinuxLinux服务管理与自动化运维服务管理与自动化运维 7.1网络安全概述1.网络安全的概念网络安全的概念国际标准化组织（ISO）对网络安全的定义如下：网络系统的硬件、软件及其系统中的数据受到保护，不因无意或恶意的威胁而遭到破坏、更改或泄露，从而保证网络服务不中断，系统连续、可靠、正常地运行。网络安全从其本质上来讲就是要保障网络上信息的保密性、完整性、可用性、可控性和真实性。2.网络安全的特征网络安全的特征从不同角度来看，网络安全的具体含义也不同，但总体来说，网络安全具备以下几个特征。（1）完整性：数据未经授权不能进行改变的特性，即确保信息在存储或传输过程

3、中不被修改、不被破坏和丢失。这是网络安全最基本的特征。（2）可用性：可被授权实体访问并按需求使用的特性。（3）保密性：指非授权对象无法获取信息而加以利用。（4）可控性：是对网络信息的传播及内容具有控制力的特性（5）不可否认性：网络通信双方在信息交互过程中，确信参与者本身和所提供的信息真实同一性。LinuxLinux服务管理与自动化运维服务管理与自动化运维 7.2访问控制机制TCSEC：美国可信计算机系统评价标准(trusted computer systemevaluationcriteria）（桔皮书）TCSEC标准（操作系统安全级别）是计算机系统安全评估的第一个正式标准，具有划时代的意义。

4、该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC定义了四个大类七个级别，四个大类：D，C，B和A，其中A级具有最高的安全性D级是安全级别最低的级别。Linux的安全级到了C2级（C2级,较完善的自主存取控制(DAC）。7.2.1TCSEC介绍TCSEC分级为：D、C1，C2，B1，B2，B3和A1。但是一般上说是4级D级是安全级别最低的级别，如MS-DOS就属于D级；C类为自主保护级别；B类为强制保护级别；A类为验证保护类，包含一个严格的设计，控制和验证过程。当前主流的操作系统安全性远远不够，如UNIX系

5、统，WindowsNT都只能达到C2级，安全性均有待提高。LinuxLinux服务管理与自动化运维服务管理与自动化运维 广义的角度来看，访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。7.2.2访问控制机制概述1.定义定义2.访问控制三要素访问控制三要素主体、客体、保护规则主体、客体、保护规则7.2访问控制机制LinuxLinux服务管理与自动化运维服务管理与自动化运维 p自主访问控制自主访问控制DACp强制访问控制强制访问控制MAC3.分类分类3.区别DAC的数据存取权限由用户控制，系统无法控制；MAC安全

6、等级由系统控制，不是用户能直接感知或进行控制的。MAC的安全性比授予用户完全控制能力的DAC高很多。7.2访问控制机制7.2.2访问控制机制概述LinuxLinux服务管理与自动化运维服务管理与自动化运维 这种机制基于请求者的身份和访问规则来控制访问。所谓自主，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。如：用户如：用户A可将其对目标可将其对目标O的访问权限传递给用户的访问权限传递给用户B，从而使不具备对，从而使不具备对O访问权限访问权限的的B可访问可访问O。（Oracle）pDAC允许对象所有者完整访问该对象，但其他人需要访问该对象时，就必须授予适当的权限。p但每

7、一对象都仅有一组所有者信息，如果需要更复杂的访问控制能力就需要访问列表（ACL）来为不同用户设置不同权限。7.2.3自主访问控制1.定义定义7.2访问控制机制LinuxLinux服务管理与自动化运维服务管理与自动化运维 7.2.3自主访问控制2.Linux系统自主访问控制系统自主访问控制(1)拥有者拥有者/同组用户同组用户/其他用户其他用户”模式：模式：(2)ACL（用户访问控制列表（用户访问控制列表ACL（AccessControlList）和和“拥有者拥有者/同组用户同组用户/其他用户其他用户”相结合模式相结合模式(1)拥有者拥有者/同组用户同组用户/其他用户其他用户”模式模式：在在UNI

8、X/Linux系统中，实系统中，实现了一种十分简单、常用而又有效的自主存取控制模式，即在每个文件上附加现了一种十分简单、常用而又有效的自主存取控制模式，即在每个文件上附加一段有关存取控制信息的二进制位，比如：一段有关存取控制信息的二进制位，比如：Linux系统某个目录的访问模式为：系统某个目录的访问模式为：rw_r_xr_或或654,这些二进制位（称为这些二进制位（称为9bit位）反映了不同类别用户的存位）反映了不同类别用户的存取权取权:Owner（前三位）（前三位）此客体的拥有者对它的访问权限；此客体的拥有者对它的访问权限；Group（中间三位）（中间三位）owner同组用户对此客体的访问权

9、限；同组用户对此客体的访问权限；Other（最后三位）（最后三位）其他用户对此客体的访问权限其他用户对此客体的访问权限7.2访问控制机制LinuxLinux服务管理与自动化运维服务管理与自动化运维 7.2.3自主访问控制(2)ACL（用户访问控制列表（用户访问控制列表ACL（AccessControlList）和和“拥有者拥有者/同组用户同组用户/其他用户其他用户”相结合模式相结合模式7.2访问控制机制LinuxLinux服务管理与自动化运维服务管理与自动化运维 防防火火墙墙，也也称称为为防防护护墙墙，19931993年年发发明明，它它是是一一种种位位于于内内部部网网络络与与外外部部网网络之间

10、的网络安全系统。络之间的网络安全系统。防防火火墙墙是是一一项项协协助助确确保保信信息息安安全全的的防防护护系系统统，可可以以配配置置特特定定的的规规则则，允允许或者限制传输数据的通过。防火墙可以是一个硬件设备，或者是一套软件。许或者限制传输数据的通过。防火墙可以是一个硬件设备，或者是一套软件。7.3防火墙防火墙3.7.2防火墙概述防火墙概述1、定义、定义 防防火火墙墙，通通常常在在内内外外网网之之间间安安装装防防火火墙墙，形形成成一一个个保保护护层层，对对进进出出的的所所有有数数据据进进行行监监测测、分分析析、限限制制，确确保保受受保保护护的的网网络络安全。安全。2、作用、作用LinuxLin

11、ux服务管理与自动化运维服务管理与自动化运维 7.3防火墙防火墙3.7.2防火墙概述防火墙概述3、分类、分类防火墙的分类方法，主要有以下防火墙的分类方法，主要有以下6种：种：（1）软、硬件形式分类：）软、硬件形式分类：软件防火墙软件防火墙、硬件防火墙硬件防火墙、芯片级防火墙。、芯片级防火墙。（2）防火墙防火墙防护原理防护原理分类：包过滤型分类：包过滤型路由器路由器、应用网关、状态检测防火墙应用网关、状态检测防火墙。（3）防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。）防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。（4）防火墙的应用部署位置分类：边界防火墙

12、、个人防火墙、混合防火墙。）防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。（5）防火墙性能分类：百兆级防火墙、千兆级防火墙。）防火墙性能分类：百兆级防火墙、千兆级防火墙。（6）防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙）防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙LinuxLinux服务管理与自动化运维服务管理与自动化运维 包过滤防火墙（网络层）：包过滤防火墙（网络层）：包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一个最基本的控制。7.3防火墙防火墙3.7.2防火墙概述防火墙概述包过滤防火墙包过滤防火墙应用网关（代理

13、服务器型防火墙）代理服务器型防火墙是应用网关型防火墙，通常工作在应用层LinuxLinux服务管理与自动化运维服务管理与自动化运维 二.FirewalldCentOS 有有两两种种防防火火墙墙：Firewalld 和和 iptables 防防火火墙墙。CentOS7使用的是使用的是Firewalld防火墙。防火墙。uFirewalld是是Centos7的一大特性的一大特性:动态动态更新更新;无需重启服务无需重启服务。u基于基于iptables的防火墙被默认不启动，但仍然可以继续的防火墙被默认不启动，但仍然可以继续使用一一.Linux.Linux系统中常用的包过滤软件系统中常用的包过滤软件ipf

14、wadm ipfwadm (应用于应用于2.02.0内核内核)ipchains ipchains (应用于应用于2.22.2内核内核)iptables iptables (应用于应用于2.42.4内核内核)Firewalld（应用于（应用于7.20内核）内核）7.4FirewalldLinuxLinux服务管理与自动化运维服务管理与自动化运维 三.管理管理1、安装、安装它，只需：#yuminstallfirewalld如果需要图形界面的话，则再安装：#yuminstallfirewall-config查看规则：#firewall-cmdhelp查看安装包：查看安装包：#rpm-qfirewal

15、ld2、firewalld服务开启、关闭、重启、状态查看服务开启、关闭、重启、状态查看-启动：#systemctlstartfirewalld-查看状态：#systemctlstatusfirewalld或者firewall-cmdstate-禁用：#systemctlstopfirewalld-重启：#systemctlrestartfirewalld-开机禁用：#systemctldisablefirewalld-开机启用：#systemctlenablefirewalld-查看服务是否开机启动：#systemctlis-enabledfirewalld查看开机已启动的服务列表：查看开机已

16、启动的服务列表：#systemctllist-unit-files|grepenabled查看禁止开机启动的服务列表查看禁止开机启动的服务列表：#systemctllist-unit-files|grepdisabled7.4FirewalldLinuxLinux服务管理与自动化运维服务管理与自动化运维 7.5小结小结对整个网络信息系统的保护是为了网络信息的安全,网络信息安全的特征主要表现在可用性、保密性、完整性、可控性等安全属性方面。访问控制是防止未经授权使用资源，一是防止非授权用户访问资源，二是防止合法用户以非授权方式访问资源。访问控制包括三个要素：主体、客体和控制策略。操作系统的访问控制机制通常包括自主访问控制、强制访问控制与基于角色的访问控制。防火墙依据实现的方法不同，可分为软件防火墙、硬件防火墙和专用防火墙。防火墙技术常用的有包过滤防火墙、代理服务应用防火墙和状态检测防火墙。CentOS7系统中默认启用的是Firewalld防火墙管理工具，Firewalld支持图形化工具firewall-config、文本管理工具firewall-cmd两种管理方式。