firewalld防火墙配置应用

实验环境
如图2.11所示,企业网络中,网关服务器和网站服务器采用Linux CentOS 7.3操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。
firewalld防火墙配置应用_第1张图片
◆实验需求
➢网关服务器连接互联网网卡ens33地址为100.1.1.10. 为公网IP 地址,分配到firewall的external (外部)区域;连接内网网卡ens37地址为192.168.1.1.分配到firewall的trusted(信任)区域:连接服务器网卡ens38地址为192.168.2.1. 分配到firewall的dmz (非军事)区域。
➢网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345。
➢网站服务 器开启https,过滤未加密的http流量。
➢网站服务器拒绝ping.
1.基本环境配置
(1) 在网关服务器.上配置主机名及网卡地址。
firewalld防火墙配置应用_第2张图片
企业内网测试机
ping 192.168.1.1
ping 192.168.2.1
ping 100.1.1.10 能通
ping 192.168.2.10 不能通
网站服务器
ping 192.168.1.1
ping 192.168.2.1
ping 100.1.1.10 能通
ping 192.168.1.10 不能通
lnternet测试用机
ping 100.1.1.10 能通
ping 192.168.1.10
ping 192.168.1.20 不能通
(2) 开启网关服务器的路由转发功能。
firewalld防火墙配置应用_第3张图片
企业内网测试机
ping 192.168.2.10 能通
网站服务器
ping 192.168.1.10 能通
lnternet测试用机
ping 192.168.1.10
ping 192.168.1.20 不能通
(3) 配置web服务器主机名及网卡地址。
firewalld防火墙配置应用_第4张图片
2.网站服务器环境搭建
(1) 安装httpd和mod_ ssI软件包。
firewalld防火墙配置应用_第5张图片
在这里插入图片描述
(2)启用并启动httpd服务。

在这里插入图片描述
(3) 创建网站首页测试页index . html。
在这里插入图片描述

用自己的浏览器测试一下
(4) 更改SSH的侦听地址,并重启sshd服务,需要注意的是这里需要将SELinux关闭。
firewalld防火墙配置应用_第6张图片
**用企业内网测试机 ** 验证 ssh -p 12345 192.168.2.10 (查看IP)
3.在网站服务器上启动并配置firewalld防火墙
(1) 在网站服务器上启动firewalld 防火墙并将默认区域设置为dmz区域。firewalld在系统安装后默认处于启动状态,如果不确定机器.上的firewalld 是否启动,可使用systemctl status firewalld 或firewall-cmd – -state命令查看其运行状态。
firewalld防火墙配置应用_第7张图片
设置默认区域为dmz区域
在这里插入图片描述
(2)为dmz区域打开https服务及添加TCP的12345端口
firewalld防火墙配置应用_第8张图片
(3)禁止ping。
在这里插入图片描述
(4)因为预定义的SSH服务已经更改默认端口,所以将预定义SSH服务移除。
在这里插入图片描述
(5)重新加载Firewalld激活配置,并查看刚才的配置。
firewalld防火墙配置应用_第9张图片
验证 企业内网测试机能访问https ,不能访问http
所有测试机都不能ping 192.168.2.10

4.在网关服务器上配置firewalld防火墙
(1) 验证firewalld在网关服务器上启动并且正在运行。
firewalld防火墙配置应用_第10张图片
在这里插入图片描述
(2) 设置默认区域为external区域,并查看配置结果。
firewalld防火墙配置应用_第11张图片

(3) 将ens36网卡配置到trusted区域,将ens37配置到dmz区域。
(4) 查看配置情况如下。
firewalld防火墙配置应用_第12张图片
(5)在企业内网测试机上访问网站服务器,可以成功访问,
firewalld防火墙配置应用_第13张图片

(6) 更改SSH的侦听端口,并重启服务(需关闭SELinux).
在这里插入图片描述
(7) 配置external区域添加TCP的12345端口。
在这里插入图片描述
(8)配置external区域移除SSH服务。
在这里插入图片描述
(9) 配置external区域禁止ping。
在这里插入图片描述
(10) 重新加载防火墙激活配置。
在这里插入图片描述
(11) 在互联网测试计算机上通过SSH登录网关外部接口地址的12345端口,成功。
firewalld防火墙配置应用_第14张图片
(12) 在企业内网测试计算机上SSH登录web网站服务器的12345端口,成功。
firewalld防火墙配置应用_第15张图片
在lnternet测试用机上安装http服务,在企业内网测试机上验证
firewalld防火墙配置应用_第16张图片

你可能感兴趣的:(Linux系统安全及防火墙配置,firewall防火墙,基本环境配置,网站服务器环境)