firewalld防火墙（一）-白红宇

firewalld防火墙（一）

阅读量：515 次

发布时间：2019-03-07

本文共 2441 字，大约阅读时间需要 8 分钟。

基于区域、服务、端口的访问控制实验

实验环境

某公司的Web服务器和网关服务器均采用Linux CentOS 7.3操作系统。为了增强网络访问安全性，需熟悉Firewall防火墙规则编写，制定有效的主机防护策略。

实验拓扑

采用网络架构图（附图），详细描述网络设备分布和区域划分。

需求描述

网关服务器：
- ens33网卡配置为trusted（信任）区域
- ens34网卡配置为external（外部）区域
- ens35网卡配置为dmz（非军事）区域

网站服务器：
- SSH默认端口改为12345
  -开启HTTPS服务，过滤未加密的HTTP流量，且拒绝ping请求

实验步骤

Step 1：基本环境配置

配置主机名及网卡地址：

网关服务器：

# 设定主机名为trusted[root@Centos ~]# hostnamectl set-hostname trusted

企业内网测试机：

[root@trusted ~]# hostnamectl set-hostname trusted

外部测试用机：

[root@externsl ~]# hostnamectl set-hostname externsl

网站服务器：

[root@dmz ~]# hostnamectl set-hostname dmz

更改SSH监听端口：

网关服务器：

[root@gateway ~]# vim /etc/ssh/sshd_config

网站服务器：
```
[root@dmz ~]# vim /etc/ssh/sshd_config
```

重新启动SSH服务：

[root@gateway ~]# systemctl restart sshd

开启网关服务器的路由转发功能：

[root@gateway ~]# vim /etc/sysctl.conf

Step 2：部署Web站点

安装必要软件包：

[root@dmz ~]# yum -y install httpd mod_ssl

启用并启动HTTPD服务：

[root@dmz ~]# systemctl start httpd

[root@dmz ~]# systemctl enable httpd

创建测试页面：

[root@dmz ~]# echo "this is a test web" > /var/www/html/index.html

Step 3：编写Firewalld防火墙规则

关于网站服务器的规则

启动Firewalld并设置默认区域：

[root@dmz ~]# systemctl start firewalld

[root@dmz ~]# systemctl enable firewalld

[root@dmz ~]# firewall-cmd --set-default-zone=dmz

添加HTTPS和TCP12345端口：

[root@dmz ~]# firewall-cmd --zone=dmz --add-service=https --permanent

[root@dmz ~]# firewall-cmd --zone=dmz --add-port=12345/tcp --permanent

禁止ping请求：

[root@dmz ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

移除预定义SSH服务：

[root@dmz ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent

重新加载Firewalld规则：

[root@dmz ~]# firewall-cmd --reload

关于网关服务器的规则

启动并设置默认区域：

[root@gateway ~]# systemctl start firewalld

[root@gateway ~]# systemctl enable firewalld

[root@gateway ~]# firewall-cmd --set-default-zone=external

将ens32网卡设置为trusted区域，ens35设置为dmz区域：

[root@gateway ~]# firewall-cmd --change-interface=ens32 --zone=trusted

[root@gateway ~]# firewall-cmd --change-interface=ens35 --zone=dmz

添加external区域的TCP12345端口：

[root@gateway ~]# firewall-cmd --zone=external --add-port=12345/tcp --permanent

移除SSH服务并禁止ping请求：

[root@gateway ~]# firewall-cmd --zone=external --remove-service=ssh --permanent

[root@gateway ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent

重新加载防火墙规则：

[root@gateway ~]# firewall-cmd --reload

验证

互联网测试计算机通过SSH登录外部接口12345端口：

[root@externsl ~]# ssh -p 12345 192.168.200.20

企业内网测试计算机通过SSH登录网站服务器12345端口：

[root@trusted ~]# ssh -p 12345 192.168.10.10

企业内网测试机访问网站服务器：

[图片描述：测试访问网站服务器]

转载地址：http://wbbnz.baihongyu.com/

你可能感兴趣的文章

NIFI从MySql中增量同步数据_通过Mysql的binlog功能_实时同步mysql数据_根据binlog实现数据实时delete同步_实际操作04---大数据之Nifi工作笔记0043

查看>>

NIFI从MySql中增量同步数据_通过Mysql的binlog功能_实时同步mysql数据_配置binlog_使用处理器抓取binlog数据_实际操作01---大数据之Nifi工作笔记0040

查看>>

NIFI从MySql中增量同步数据_通过Mysql的binlog功能_实时同步mysql数据_配置数据路由_实现数据插入数据到目标数据库_实际操作03---大数据之Nifi工作笔记0042

查看>>

NIFI从MySql中离线读取数据再导入到MySql中_03_来吧用NIFI实现_数据分页获取功能---大数据之Nifi工作笔记0038

查看>>

NIFI从PostGresql中离线读取数据再导入到MySql中_带有数据分页获取功能_不带分页不能用_NIFI资料太少了---大数据之Nifi工作笔记0039

查看>>

NIFI同步MySql数据_到SqlServer_错误_驱动程序无法通过使用安全套接字层(SSL)加密与SQL Server_Navicat连接SqlServer---大数据之Nifi工作笔记0047

查看>>

Nifi同步过程中报错create_time字段找不到_实际目标表和源表中没有这个字段---大数据之Nifi工作笔记0066

查看>>

NIFI大数据进阶_FlowFile拓扑_对FlowFile内容和属性的修改删除添加_介绍和描述_以及实际操作---大数据之Nifi工作笔记0023

查看>>

NIFI大数据进阶_NIFI的模板和组的使用-介绍和实际操作_创建组_嵌套组_模板创建下载_导入---大数据之Nifi工作笔记0022

查看>>

NIFI大数据进阶_NIFI监控的强大功能介绍_处理器面板_进程组面板_summary监控_data_provenance事件源---大数据之Nifi工作笔记0025

查看>>

NIFI大数据进阶_内嵌ZK模式集群1_搭建过程说明---大数据之Nifi工作笔记0015

查看>>

NIFI大数据进阶_外部ZK模式集群1_实际操作搭建NIFI外部ZK模式集群---大数据之Nifi工作笔记0017

查看>>

NIFI大数据进阶_离线同步MySql数据到HDFS_01_实际操作---大数据之Nifi工作笔记0029

查看>>

NIFI大数据进阶_离线同步MySql数据到HDFS_02_实际操作_splitjson处理器_puthdfs处理器_querydatabasetable处理器---大数据之Nifi工作笔记0030

查看>>

NIFI大数据进阶_连接与关系_设置数据流负载均衡_设置背压_设置展现弯曲_介绍以及实际操作---大数据之Nifi工作笔记0027

查看>>

NIFI数据库同步_多表_特定表同时同步_实际操作_MySqlToMysql_可推广到其他数据库_Postgresql_Hbase_SqlServer等----大数据之Nifi工作笔记0053

查看>>

NIFI汉化_替换logo_二次开发_Idea编译NIFI最新源码_详细过程记录_全解析_Maven编译NIFI避坑指南001---大数据之Nifi工作笔记0068

查看>>

NIFI集群_内存溢出_CPU占用100%修复_GC overhead limit exceeded_NIFI: out of memory error ---大数据之Nifi工作笔记0017

查看>>

NIFI集群_队列Queue中数据无法清空_清除队列数据报错_无法删除queue_解决_集群中机器交替重启删除---大数据之Nifi工作笔记0061

查看>>

NIH发布包含10600张CT图像数据库为AI算法测试铺路

查看>>