《網(wǎng)絡(luò)安全技術(shù)實踐教程》教案授課單位：授課時間：授課班級：授課教師：年月日教案5（第5號/17號）課程名稱網(wǎng)絡(luò)安全技術(shù)實踐授課日期、節(jié)次班級課堂類型理論+實踐地點章節(jié)（任務(wù)）名稱任務(wù)2.5檢查SSH服務(wù)任務(wù)2.6配置防火墻策略教學目標知識目標1.掌握SSH的安全配置要求，口令認證與密鑰認證的區(qū)別，對于安全傳輸?shù)挠绊懀?.掌握防火墻的終端管理工具；3.掌握防火墻的圖像管理工具；能力目標1.能夠使用口令認證、密鑰認證兩種方式進行SSH服務(wù)器遠程登錄；2.能夠?qū)Ψ阑饓M行配置；素質(zhì)目標1.培養(yǎng)學生良好的職業(yè)道德、法律意識、愛崗敬業(yè)精神；2.培養(yǎng)學生自主學習能力、交流溝通能力、創(chuàng)新能力和團隊合作意識；3.培養(yǎng)學生網(wǎng)絡(luò)安全意識、民族自豪感和科技報國精神。學情分析1.專業(yè)興趣高，動手能力強，信息化接受程度高；2.具備一定系統(tǒng)軟件、應(yīng)用軟件操作維護技能，但掌握不深入；3.有一定溝通交通能力，85%的學生不具備換位思考意識，70%的學生沒有網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)。重難點分析教學重點1.基于秘鑰的SSH服務(wù)器的調(diào)試；2.防火墻終端配置命令；教學難點1.基于口令的SSH的登陸安全性及服務(wù)器調(diào)試；2.SSH兩種認證安全性。信息化應(yīng)用方法基于省級精品在線開放課程，通過泛雅教學平臺發(fā)布教學資源(如微課、操作流程、操作視頻、安全案例等)，做好課前預(yù)習；通過翻轉(zhuǎn)課堂，先發(fā)布任務(wù)，學生根據(jù)任務(wù)現(xiàn)場操作，教師糾錯，以小組為單位，生生互評（根據(jù)操作評分細則），并錄制視頻；對于學生的易錯點和本節(jié)課的難點進行突破學習，提升學生對操作流程的熟悉度、熟練度和規(guī)范化。課程思政元素1.國家安全。在課程引入環(huán)節(jié)，討論相關(guān)服務(wù)的安全風險，提高警惕意識，再通過FTP應(yīng)用服務(wù)器安全加固，在實訓和驗證測試中，提升服務(wù)器安全指標，提升安全意識；2.工匠精神。通過課程實訓，在加固linux服務(wù)器過程，追求服務(wù)器性能和安全性，培養(yǎng)學生精益求精工匠精神。3.法律意識。通過問卷+討論方式，交流遠程控制的本質(zhì)，幫助學生進一步明白是非，網(wǎng)絡(luò)不是法外之地，遵紀守法，守住安全底線。教學實施過程課前：平臺發(fā)布LINUX系統(tǒng)安全加固任務(wù)5、任務(wù)6學習任務(wù)，供學生預(yù)習。課中：導入新課SSH主要用于遠程登錄服務(wù)器和安全傳輸文件。然而，最近的研究表明，在SSH連接中存在漏洞，可能被黑客利用以攻擊服務(wù)器。安全威脅監(jiān)控平臺Shadowserver最近的一份研究報告表明，互聯(lián)網(wǎng)上有近1100萬臺SSH服務(wù)器容易受到水龜攻擊（TerrapinAttack）。水龜攻擊是德國波鴻魯爾大學安全研究人員開發(fā)的新攻擊技術(shù)，一旦攻擊成功，攻擊者可以破壞管理員通過SSH會話建立的安全連接，導致計算機、云和其他敏感環(huán)境受到損害。工程師小林通過查看SSH服務(wù)器端配置，發(fā)現(xiàn)SSH服務(wù)器端存在允許空密碼登錄等不安全配置，于是他及時對SSH服務(wù)進行加固，降低了系統(tǒng)被攻擊的風險。防火墻是保障網(wǎng)絡(luò)安全的基本工具，通過在服務(wù)器與外部訪客之間建立過濾機制，防火墻在網(wǎng)絡(luò)層面上實現(xiàn)了安全防范。防火墻作為公網(wǎng)與內(nèi)網(wǎng)之間的保護屏障，在保障數(shù)據(jù)安全方面起著至關(guān)重要的作用。當前在Linux操作系統(tǒng)中存在多個防火墻管理工具，新的Linux發(fā)行版本使用firewalld服務(wù)取代以前的iptables服務(wù)來定義防火墻策略。實際上，iptables服務(wù)會把配置好的防火墻策略交由內(nèi)核層面的netfilter網(wǎng)絡(luò)過濾器來處理，而firewalld服務(wù)則是把配置好的防火墻策略交由內(nèi)核層面的nftables包過濾框架來處理，它們在防火墻策略的配置思路上是保持一致的。工程師小林通過配置Linux防火墻策略，以達到保護系統(tǒng)數(shù)據(jù)安全的目的。任務(wù)5知識點講解1、SSH簡介SSH是一種建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，用于建立加密的遠程登錄會話，具有高安全性、速度快和支持遠程命令執(zhí)行等優(yōu)勢。傳統(tǒng)遠程登錄和文件傳輸方式（如Telnet、FTP等）使用明文傳輸數(shù)據(jù)，存在很大的安全隱患。隨著人們對網(wǎng)絡(luò)安全越來越重視，這些方式已慢慢不被接受。SSH協(xié)議通過對網(wǎng)絡(luò)數(shù)據(jù)進行加密和驗證，在不安全的網(wǎng)絡(luò)環(huán)境中提供了安全的網(wǎng)絡(luò)服務(wù)。作為Telnet等不安全遠程Shell協(xié)議的安全替代方案，目前SSH協(xié)議已經(jīng)被全世界廣泛用于遠程登錄、文件傳輸、服務(wù)部署和管理等場景。2、SSH工作流程SSH由服務(wù)器和客戶端組成，為建立安全的SSH通道，雙方需要先建立TCP連接，然后協(xié)商使用的版本號和各類算法，并生成相同的會話密鑰用于后續(xù)的對稱加密。在完成用戶認證后，雙方即可建立會話進行數(shù)據(jù)交互。SSH工作流程包括如下幾個階段。1．連接建立SSH依賴端口進行通信。在未建立SSH連接時，SSH服務(wù)器會在指定端口偵聽連接請求，SSH客戶端向SSH服務(wù)器的指定端口發(fā)起連接請求后，雙方建立一個TCP連接，后續(xù)會通過該端口進行通信。默認情況下，SSH服務(wù)器使用端口22。2．版本號協(xié)商SSH協(xié)議目前存在SSH1.x（SSH2.0之前的版本）和SSH2.0。SSH2.0協(xié)議相比SSH1.x協(xié)議來說，在結(jié)構(gòu)上進行了擴展，可以支持更多的認證方法和密鑰交換算法，同時提高了服務(wù)能力。SSH服務(wù)器和客戶端通過協(xié)商確定最終使用的SSH版本號。3．算法協(xié)商SSH工作過程中需要使用多種類型的算法，包括用于產(chǎn)生會話密鑰的密鑰交換算法、用于數(shù)據(jù)信息加密的對稱加密算法、用于進行數(shù)字簽名和認證的公鑰（PablicKey）算法和用于數(shù)據(jù)完整性保護的HMAC（Hash-basedMessageAuthenticationCode，基于散列的消息認證碼）算法。SSH服務(wù)器和客戶端對每種類型中的具體算法的支持情況不同，因此雙方需要協(xié)商確定每種類型中最終使用的算法。4．密鑰交換SSH服務(wù)器和客戶端通過密鑰交換算法，動態(tài)生成共享的會話密鑰和會話ID，建立加密通道。會話密鑰主要用于后續(xù)數(shù)據(jù)傳輸?shù)募用?，會話ID用于在認證過程中標識SSH連接。在該階段還會完成SSH客戶端對SSH服務(wù)器的身份認證，服務(wù)器先使用服務(wù)器私鑰（PrivateKey）對消息進行簽名，客戶端再使用服務(wù)器公鑰驗證簽名，從而完成客戶端對服務(wù)器的身份認證。5．用戶認證SSH客戶端向SSH服務(wù)器發(fā)起用戶認證請求，SSH服務(wù)器對SSH客戶端進行認證。SSH用戶認證最基本的兩種方式是密碼認證和密鑰認證。密碼認證的基本原理是SSH客戶端使用對稱密鑰對密碼進行加密，SSH服務(wù)器使用對稱密鑰解密后驗證密碼的合法性，這種認證方式比較簡單，但每次登錄都需要輸入用戶名和密碼。而密鑰認證可以實現(xiàn)安全性更高的免密登錄，其基本原理是SSH客戶端使用客戶端私鑰對消息進行簽名，服務(wù)器再使用客戶端公鑰驗證簽名。這是一種廣泛使用且推薦的方式。6．會話請求認證通過后，SSH客戶端向服務(wù)器發(fā)送會話請求，請求服務(wù)器提供某種類型的服務(wù)，即請求與服務(wù)器建立相應(yīng)的會話。服務(wù)器根據(jù)客戶端請求進行回應(yīng)。7．數(shù)據(jù)交互會話建立后，SSH服務(wù)器和客戶端在該會話上進行數(shù)據(jù)交互，雙方發(fā)送的數(shù)據(jù)均使用會話密鑰進行加解密。3、SSH常用命令1．SSH連接至遠程主機命令格式如下：sshname@remoteserver或sshremoteserver-lname以上兩種格式都可以實現(xiàn)通過SSH連接至遠程主機，remoteserver代表遠程主機，name代表登錄遠程主機的用戶名。2．SSH連接至遠程主機指定的端口命令格式如下：sshname@remoteserver-p2222

或sshremoteserver-lname-p2222其中，-p參數(shù)用于指定端口號。4、SSH安全設(shè)置（1）修改默認端口：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將Port參數(shù)值修改為允許訪問的端口。（2）取消密碼驗證方式，只使用密鑰對驗證方式登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PasswordAuthentication參數(shù)值修改為NO。（3）只允許通過指定網(wǎng)段訪問SSH服務(wù)：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，uqfListenAddress參數(shù)值修改為允許訪問SSH的網(wǎng)段。（4）禁止空密碼登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PermitEmptyPasswords參數(shù)值修改為NO。（5）禁止root用戶通過SSH登錄：編輯SSH服務(wù)配置文件/etc/ssh/sshd_config，將PermitRootLogin參數(shù)值修改為no。任務(wù)5實施步驟（1）登錄SSH服務(wù)器端，使用命令cat/etc/ssh/sshd_config查看配置文件，顯示SSH服務(wù)的默認端口為22，如圖2-34所示。圖2-34SSH服務(wù)默認端口（2）登錄SSH客戶端（IP地址為29），執(zhí)行命令ssh-keygen生成公鑰，如圖2-35所示。圖2-35SSH客戶端生成公鑰（3）登錄SSH客戶端，執(zhí)行命令ssh-copy-id28，將公鑰傳至服務(wù)器端（IP地址為28），此時需要輸入服務(wù)器端root賬戶的密碼，如圖2-36所示。圖2-36SSH客戶端將公鑰傳至服務(wù)器端（4）登錄SSH客戶端，執(zhí)行命令sshroot@28遠程登錄服務(wù)器端，不需要輸入密碼，如圖2-37所示。圖2-37SSH客戶端遠程登錄服務(wù)器端（5）編輯配置文件/etc/ssh/sshd_config，修改PermitRootLogin為no，禁止root用戶通過SSH登錄，如圖2-38所示。圖2-38禁止root用戶通過SSH登錄（6）執(zhí)行systemctlrestartsshd命令重啟SSH服務(wù)，重啟后執(zhí)行命令systemctlstatussshd查看SSH服務(wù)狀態(tài)，如圖2-39所示。圖2-39重啟SSH服務(wù)并查看SSH服務(wù)狀態(tài)（7）登錄SSH客戶端，以root用戶身份遠程登錄SSH服務(wù)器端，輸入正確的root用戶密碼，提示登錄失敗，如圖2-40所示。圖2-40root用戶通過SSH登錄失敗（8）登錄SSH服務(wù)器端，編輯配置文件/etc/ssh/sshd_config，將SSH服務(wù)的默認端口號修改為2220，同時修改PermitRootlogin為yes，允許root用戶通過SSH登錄，如圖2-41所示。圖2-41修改SSH服務(wù)的默認端口號為2220（9）登錄SSH客戶端，執(zhí)行命令sshroot@28-p2220遠程登錄SSH服務(wù)器端，如圖2-42所示。圖2-42SSH客戶端連接服務(wù)器2220端口任務(wù)6知識點講解1、firewalld簡介firewalld是Linux操作系統(tǒng)默認的防火墻配置管理工具，它擁有基于CLI（CommandLineInterface，命令行界面）和基于GUI（GraphicalUserInterface，圖形用戶界面）的兩種管理方式。相較于傳統(tǒng)的防火墻配置管理工具，firewalld支持動態(tài)更新技術(shù)并加入了區(qū)域（Zone）的概念。區(qū)域是firewalld預(yù)先準備的幾套防火墻策略集合（策略模板），用戶可以根據(jù)實際應(yīng)用場景選擇合適的策略集合，從而實現(xiàn)防火墻策略的快速切換。進行任何規(guī)則的變更都不需要對整個防火墻規(guī)則列表進行重新加載，只需要將變更部分保存并更新即可，極大地提升了防火墻策略的應(yīng)用效率。firewalld同時具備對IPv4和IPv6防火墻設(shè)置的支持。firewalld中常見的區(qū)域（默認為public）及相應(yīng)的默認規(guī)則策略如下表所示。區(qū)域默認規(guī)則策略阻塞區(qū)域（block）拒絕流入的流量，除非與流出的流量相關(guān)工作區(qū)域（work）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、ipp-client、dhcpv6-client服務(wù)相關(guān)，則允許流量家庭區(qū)域（home）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、mdns、ipp-client、mba-client、dhcpv6-client服務(wù)相關(guān)，則允許流量公共區(qū)域（public）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、dhcpv6-client服務(wù)相關(guān)，則允許流量隔離區(qū)域（dmz）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量信任區(qū)域（trusted）允許所有的流量丟棄區(qū)域（drop）拒絕流入的流量，除非與流出的流量相關(guān)內(nèi)部區(qū)域（internal）等同于home區(qū)域外部區(qū)域（external）拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量2、firewalld配置模式在Linux操作系統(tǒng)中，firewalld有兩種配置模式：一是運行時（Runtime）模式，又稱為當前生效模式，能夠立即生效，但在系統(tǒng)重啟后會失效，它不中斷現(xiàn)有連接，且無法修改服務(wù)配置；二是永久（Permanent）模式，不立即生效，但在系統(tǒng)重啟后會生效，或者立即同步后生效，它會中斷現(xiàn)有連接，同時可以修改服務(wù)配置。與Linux系統(tǒng)中其他的防火墻配置管理工具一樣，使用firewalld配置的防火墻策略默認為運行時模式，隨著系統(tǒng)的重啟會失效。如果想讓防火墻策略一直存在，就需要使用永久模式，其方法是在用firewall-cmd命令正常設(shè)置防火墻策略時添加--permanent參數(shù)，這樣配置的防火墻策略就可以永久生效。如果想讓配置的防火墻策略立即生效，則需要手動執(zhí)行firewall-cmd--reload命令。3、firewalld基本命令在Linux服務(wù)器中安裝MySQL、Tomcat等需要端口的服務(wù)時，經(jīng)常要對防火墻進行一些操作，常用的命令如下。（1）查看防火墻狀態(tài)（dead代表關(guān)閉狀態(tài)，running代表已開啟狀態(tài)）。systemctlstatusfirewalld（2）查看防火墻所有開放的端口。firewall-cmd--list-ports（3）開啟防火墻。systemctlstartfirewalld（4）開放指定端口（如TCP80端口）。firewall-cmd--permanent--add-port=80/tcp（5）重啟防火墻。firewall-cmd--reload（6）關(guān)閉防火墻。systemctldisablefirewalld（7）開機自啟動防火墻。systemctlenablefirewalld4、firewalld終端管理工具Linux操作系統(tǒng)的命令行終端是一種極富效率的工具，firewall-cmd是firewalld防火墻配置管理工具的CLI版本。它的參數(shù)一般都是以“長格式”形式提供的，支持使用“Tab”鍵自動補齊。firewall-cmd命令常用參數(shù)及其作用如下表所示。參數(shù)作用--get-default-zone查詢默認的區(qū)域名稱--get-zones顯示可用的區(qū)域--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當前正在使用的區(qū)域與網(wǎng)卡名稱--add-source=將源自此IP地址或子網(wǎng)的流量導向指定的區(qū)域--remove-source=不再將源自此IP地址或子網(wǎng)的流量導向指定區(qū)域--change-interface=<網(wǎng)卡名稱>將某張網(wǎng)卡與區(qū)域進行關(guān)聯(lián)--list-all顯示當前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--add-service=<服務(wù)名>設(shè)置默認區(qū)域允許該服務(wù)的流量續(xù)表參數(shù)作用--add-port=<端口號/協(xié)議>設(shè)置默認區(qū)域允許該端口的流量--remove-service=<服務(wù)名>設(shè)置默認區(qū)域不再允許該服務(wù)的流量--remove-port=<端口號/協(xié)議>設(shè)置默認區(qū)域不再允許該端口的流量--reload讓“永久生效”的配置規(guī)則立即生效，并覆蓋當前的配置規(guī)則5、firewalld圖形管理工具在Linux操作系統(tǒng)中，firewalld防火墻配置管理工具的GUI幾乎可以實現(xiàn)所有以命令行來執(zhí)行的操作，包括查看常用的系統(tǒng)服務(wù)列表、查看當前正在使用的區(qū)域、管理當前被選中區(qū)域中的服務(wù)、管理當前被選中區(qū)域中的端口、開啟或關(guān)閉SNAT（SourceNetworkAddressTranslation，源網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)、設(shè)置端口轉(zhuǎn)發(fā)策略、管理網(wǎng)卡設(shè)備、管理防火墻的富規(guī)則、控制請求ICMP（InternetControlMessageProtocol，互聯(lián)網(wǎng)控制報文協(xié)議）服務(wù)流量等。firewalldGUI如圖2-43所示。圖2-43firewalldGUI任務(wù)6實施步驟（1）打開實驗環(huán)境，在桌面空白處右擊，在彈出的快捷菜單中選擇“打開終端”，打開命令終端窗口。執(zhí)行命令firewall-cmd--get-default-zone查看firewalld當前所使用的區(qū)域，如圖2-44所示。圖2-44查看firewalld當前所使用的區(qū)域（2）執(zhí)行以下命令，查看public區(qū)域是否允許請求SSH和HTTPS的流量，如圖2-45所示。圖2-45查看SSH和HTTPS的流量請求（3）執(zhí)行以下命令，把firewalld中請求HTTPS的流量設(shè)置為永久允許，并立即生效，如圖2-46所示。圖2-46設(shè)置HTTPS請求流量為永久允許，并立即生效（4）打開實驗環(huán)境，單擊“應(yīng)用程序”→“雜項”→“防火墻”，如圖2-47所示，進入防火墻GUI。圖2-47單擊“防火墻”（5）勾選“http”復選框，將當前區(qū)域中請求HTTP服務(wù)的流量設(shè)置為允許，但僅限當前生效，如圖2-48所示。圖2-48將HTT