Linux系统与应用课件：网络安全.pptVIP

【项目导入】某高校部署有Samba、Web、FTP、E-mail等服务器为校园网用户及Internet用户提供服务。为保证服务器及校园网的安全，需要选择既稳定又易于管理的Linux系统作为防火墙，为校园网安全保驾护航。【知识目标】?了解网络安全常见的威胁?理解SELinux的概念?理解iptables的工作原理?掌握iptables的基础结构?掌握iptables的语法规则?了解TCP-wrappers的工作原理【能力目标】?掌握SELinux的设置方法?掌握iptables的设置规则?掌握iptables的应用12.1计算机网络安全基础知识1.网络安全的定义网络安全从本质上讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。2.网络安全的特征（1）必威体育官网网址性（2）完整性（3）可用性（4）可控性3.影响网络安全的主要因素（1）操作系统漏洞（2）应用软件漏洞（3）TCP/IP漏洞（4）电子邮件漏洞（5）系统密码漏洞（6）管理上的漏洞4.Linux网络安全防范策略（1）仔细设置每个内部用户的权限。（2）确保用户口令文件/etc/shadow的安全。（3）加强对系统运行的监控和记录。（4）合理划分子网和设置防火墙（5）定期对Linux网络进行安全检查（6）制定适当的数据备份计划确保系统万无一失。12.2SELinux的使用方法SELinux是Security-EnhancedLinux的简称，是美国国家安全局NSA（TheNationalSecurityAgency）和SCC（SecureComputingCorporation）合作开发的基于Linux或UNIX的一个扩展的强制安全访问控制模块1.DACDAC(DiscretionaryAccessControl，自主访问控制)是一种传统的UNIX/Linux访问控制方式，系统通过控制文件的读（r）、写（w）、执行（x）权限和文件归属者如文件所有者（owner）、文件所属（group）、其他人（other）等形式来控制文件属性，权限划分较粗糙，不易实现对文件权限的精确管理。2.MACMAC（MandatoryAccessControl，强制存取控制），依据条件决定是否有存取权限。可以规范个别细致的项目进行存取控制，提供完整的彻底化规范限制。12.2.1SELinux的配置SELinux的配置文件存放在/etc/selinux文件夹下，主要有4个文件config、restorecond.conf、restorecond_user.conf、semanage.conf和一个目录targeted。其中比较重要的是config文件和targeted目录，config文件是SELinux的主配置文件，targeted目录是SELinux比较重要的安全上下文、模块及策略配置目录。config文件主要用于配置SELinux的工作模式。SELinux的工作模式有3种，分别是enforcing、permissive、disabled，其中enforcing为系统的默认工作模式。（1）enforcing：强制模式，此时系统处于SELinux的保护之下。（2）permissive：宽容模式，代表SELinux处于运作状态，不过仅会有警告信息并不会实际限制domain/type的存取，这种模式通常用来调试系统。（3）disabled：禁用SELinux，此时SELinux处于停止状态。12.2.2SELinux管理命令（1）setenforce命令格式：setenforce[enforcing|permissive|1|0]功能：设置SELinux模式，修改后立即生效。例：将SELinux的模式设置为enforce模式。[root@localhost~]#setenforceenforcing或：[root@localhost~]#setenforce1（2）getenforce命令格式：getenforce功能：查看当前SELinux运行模式。（3）sestatus命令格式：sestatus功能：查看SELinux的运行状态。12.3Linux防火墙防火墙指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网