openEuler中防火墙...域匹配的验证实验设计与实现_林喜文.pdf

1、2023.6电脑编程技巧与维护1openEuler 操作系统和 FirewallD 防火墙openEuler是 华 为 研 发 的 一 款 开 源 操 作 系 统，openEuler内核源于Linux。操作系统是计算机系统中的软件基础，openEuler的问世对提升我国软件的安全性、可用性具有非常重要的意义。防火墙是计算机在网络世界中保障系统安全的一道不可或缺的屏障。在FirewallD中，网络在逻辑上被划分为不同的区域，每个区域定义了一种信任级别。FirewallD预定了9个区域，信任度由高到低分别是：信任区域（trusted）、内部区域（internal）、家庭区域（home）、工作区域（

2、work）、隔离区域（dmz）、外部区域（external）、公共区域（public）、阻塞区域（block）、丢弃区域（drop）。此外，用户还可以自定义区域并在区域中自由配置规则。需要注意的是，在使用FirewallD时，针对每个外部流量访问，只有一个区域真正生效。不同的外部流量访问被使用中的区域规则选择性地放行，实现防火墙的过滤功能。规则包括预定义的服务、端口、协议、IP伪装和端口转发等。2FirewallD 的区域匹配规则在防火墙的区域中有两类特殊的区域：活动区域（Active Zone）和默认区域（Default Zone）。活动区域是指任何关联了流量源及网络接口的区域。流量源既可以

3、是某一特定的IP地址，也可以是一个子网。若把流量源关联到一个区域，那么来自这个流量源的外部流量访问就适用于这个区域的规则。若把网络接口关联到一个区域，那么通过该网络接口的外部流量访问就适用于这个区域的规则。默认区域是当外部流量访问未匹配特定区域时使用的区域，预定义的公共区域为默认区域，用户可以修改默认区域。当存在外部流量访问时，活动区域优先级高于默认区域。如果存在多个活动区域，则匹配了流量源的区域优先级高于匹配了网络接口的区域。若一台客户端Client访问服务器端Server，则FirewallD的区域匹配规则如下。（1）检查Client端数据包的IP是否被关联到Server端的一个区域中，若

4、存在，则这个区域是有效区域。（2）检查Client端数据包通过的网络接口是否被关联到Server端的一个区域中，若存在，则这个区域是有效区域。（3）默认区域为有效区域。区域的默认配置规则是指当数据包到达有效区域时，如果不能匹配当中的任意一个规则，那么这个区域就根据target值来决定如何处理数据包。target值有4种：接 受（ACCEPT）、拒 绝（REJECT）、丢 弃（DROP）、默认（default）。ACCEPT表示尽管数据包不能匹配有效区域的任何规则，但是仍接受数据包；RE-JECT表示拒绝数据包，并且将拒绝信息通知发送方；DROP表示拒绝数据包，但是不会将拒绝信息通知发送方。实验

5、中需要准确获知数据包达到时匹配的规则，因此需要修改配置Server端所有区域的默认规则为REJECT。3验证实验在实验过程中，需要重新配置Server端FirewallD中预定义的区域。分别选择性地使用预定义的安全外壳（SSH）服务。SSH是目前远程管理Linux系统的首选方式。客户端分别通过SSH服务远程登录Server端，以验证流量访问是否能通过。在默认情况下，openEuler-22.03-LTS中FirewallD预定义的区域原始配置如表1所示。需要注意的是，安装了openEuler的虚拟机中如果openEuler 中防火墙 FirewallD 区域匹配的验证实验设计与实现林喜文1，任

6、红霞1，戴军辉1，吕雪晴2（1.青岛工程职业学院，山东 青岛266000；2.山东大学，济南250000）摘要：随着网络的全面普及，防火墙作为网络保护屏障的重要性不言而喻。FirewallD 防火墙因其灵活、稳定、基于区域管理、支持动态更新等优势被较多 Linux 操作系统使用。FirewallD 中的区域能用来组织防火墙的配置规则，在 FirewallD 实际应用时，区域的理解与使用对众多初学者而言难度较大。重点介绍了 FirewallD 中区域的概念、区域的应用及区域匹配的规则，设计并实现了一个综合实验，以验证 openEuler 中的 FirewallD 在工作过程中，针对外部流量访问匹

7、配服务器端防火墙的有效区域时的工作原理。关键词：Linux 操作系统；openEuler 操作系统；防火墙；FirewallD 软件；区域匹配164DOI:10.16184/prg.2023.06.0172023.6电脑编程技巧与维护存在区域libvirt，则是因为关联了一个虚拟网络接口virbr0，virbr0是系统默认启用了libvirt服务后生成的。nm-shared区域是由NetworkManager服务产生的。这两个区域都不是FirewallD的预定义区域。3.1实验准备通过VMware Workstation工具搭建一个虚拟网络环境，网络类型为网络地址转换（NAT）模式。创建3台虚

8、拟机，1台作为服务器端用于验证FirewallD区域匹配规则；2台作为客户端用于通过SSH服务验证流量访问是否能通过，均安装openEuler系统。为3台虚拟机配置静态IP。虚拟网络配置及功能说明，如图1所示。通过ping命令测试主机之间的网络连通性。此外，openEuler-22.03-LTS默认不安装图形用户界面（GUI），为了更方便地使用openEuler操作系统，可以单独为其安装可视化界面。实验中安装的是深度桌面环境（DDE），这是一款由国内开发团队开发的桌面环境。具体代码如下。rootServer#yum-y install dde/安装dderootServer#systemctl

9、 set-default graphical.tar-get/设置以图形界面的方式启动rootServer#reboot/重启3.2实验过程（1）如果开启了网络接口virbr0及libvirtd服务，则在Server端关闭两者。具体代码如下。rootServer#ifconfig virbr0 downrootServer#systemctl stop libvirtd.service（2）在Server端将所有区域的target值修改为RE-JECT，以配置区域trusted为例。具体代码如下。rootServer#firewall-cmd-permanent-set-target=REJE

10、CT-zone=trustedrootServer#firewall-cmd-reload（3）在Server端将预定义服务SSH从除了区域work外的区域移除，以配置区域internal为例。具体代码如下。rootServer#firewall-cmd-remove-service=ssh-zone=internal通过步骤（2）和步骤（3），当且仅当来自外部的数据包匹配到Server端的区域work时，才能使用SSH服务远程登录Server。（4）为Server端区域work添加流量源为Client1端的IP地址。具体代码如下。rootServer#firewall-cmd-permane

11、nt-zone=work-add-source=192.168.109.201/24rootServer#firewall-cmd-reload（5）在Server端创建测试用户test以及测试密码123456。具体代码如下。rootServer#useradd testrootServer#passwd test/输入两次密码123456（6）在Client1端通过SSH服务远程登录Server端用户test。具体代码如下。user1Client1$ssh test192.168.109.200*/输入密码123456（有省略）IP address:192.168.109.200Users

12、online:2（有省略）testServer$exit/显示登录成功，退出（7）在Server端将预定义服务SSH从 区 域work移除。具体代码如下。区域服务Service默认规则target接口interfacetrustedACCEPTinternaldhcpv6-client mdns samba-client sshdefaulthomedhcpv6-client mdns samba-client sshdefaultworkdhcpv6-client mdns sshdefaultdmzSSHdefaultexternalSSHdefaultpublic(active)dhcp

13、v6-client mdns sshdefaultens33blockREJECTdropDROPlibvirt(active)dhcp dhcpv6 dns ssh tftpACCEPTvirbr0nm-shareddhcp dns sshACCEPT表1openEuler-22.03-LTS中FirewallD预定义的区域原始区域配置图1虚拟网络配置及功能说明Client2:192.168.109.202/24验证流量访问匹配网络接口是否能通过workClient1:192.168.109.201/24验证流量访问匹配流量源是否能通过dmzServer 192.168.109.200/24

14、验证FirewallD区域匹配规则1652023.6电脑编程技巧与维护rootServer#firewall-cmd-remove-service=ssh-zone=work（8）再次在Client1端通过SSH服务远程登录Serv-er端用户test。具体代码如下。user1Client1$ssh test192.168.109.200*/输入密码123456ssh:connect to host 192.168.109.200 port 22:Noroute to host/显示登录失败（9）在Server端将Client1端的IP地址的流量源从区域work删除。具体代码如下。rootSe

15、rver#firewall-cmd-permanent-zone=work-remove-source=192.168.109.201/24successrootServer#firewall-cmd-reloadsuccess（10）在Server端在dmz中添加预定义服务SSH。具体代码如下。rootServer#firewall-cmd-zone=dmz-add-service=ssh通过步骤（7）和步骤（10），当且仅当来自外部的数据包匹配到Server端的区域dmz时，才能使用SSH服务远程登录Server。（11）在Server端将网络接口ens33关联到区域dmz。具体代码如下。

16、rootServer#firewall-cmd-zone=dmz-change-interface=ens33（12）Client2端通过SSH服务远程登录Server。具体代码如下。user2Client2$ssh test192.168.109.200*/输入密码123456IP address:192.168.109.200Users online:2（有省略）testServer$exit/显示登录成功，退出（13）在Server端将预定义服务SSH从区域dmz移除。具体代码如下。rootServer#firewall-cmd-zone=dmz-re-move-service=ssh（

17、14）Client2端通过SSH服务远程登录Server。具体代码如下。user2Client2$ssh test192.168.109.200*/输入密码123456ssh:connect to host 192.168.109.200 port 22:Noroute to host/显示登录失败3.3实验结论通过3.2步骤（6）和步骤（8）的对比结果可知，当有来自Client1端的流量访问时，Server端首先匹配的FirewallD有效区域是sources项中添加了Client1端IP地址的流量源work。当work中包含了SSH服务时，Client1端能够成功地远程登录Server端。

18、通过3.2步骤（12）和步骤（14）的对比结果可知，因为Client2端的IP地址无法匹配到任何区域的sources项，所以就继续匹配关联到网络端口的区域。将唯一的网络端口ens33重新关联到dmz。在dmz中添加SSH服务后，Server端将来自Client2端的流量访问匹配到dmz区域，因此Client2端能成功远程登录Server端。4结语在新时代复杂的网络环境下，防火墙在保障网络安全方面的地位不可取代。因此，基于openEuler设计了一个综合实验，以验证防火墙在使用过程中区域匹配的规则，以更好地理解FirewallD的工作原理、掌握配置命令。参考文献1吴刚.OpenEuler Linux系统防火墙技术辨析J.网络安全和信息化,2022(8):134-138.2周莉.CentOS 8平台FirewallD防火墙技术研究J.电脑知识与技术,2022,18(28):72-76.3蒋光远.Centos7防火墙FirewallD探究与使用J.信息与电脑,2019(3):161-162.4王煜林.RHEL7中防火墙FirewallD典型应用与配置J.电脑与电信,2014(9):48-49.166