firewalld防火墙

实验环境描述&＃xff1a;
某公司的Web服务器&＃xff0c;网关服务器均采用Linux Centos7.3操作系统&＃xff0c;为了加强网络访问的安全性&＃xff0c;要求管理员熟悉firewalld防火墙规则的编写&＃xff0c;以便制定有效、可行的主机防护策略。

需求描述&＃xff1a;网管服务器ens32网卡分配到trusted区域&＃xff0c;ens34网卡分配到external区域&＃xff0c;ens35网卡分配到DMZ区域。
网站服务器和网关服务器将SSH默认端口都改为12345。
网站服务器开启https&＃xff0c;过滤未加密的http流量&＃xff0c;且拒绝ping。

推荐步数&＃xff1a;
基本环境配置。
&＃xff08;1&＃xff09;为网关服务器与网站服务器配置网卡地址&＃xff0c;并改为SSH的侦听地址。
&＃xff08;2&＃xff09;开启网关服务器的路由转发功能。
在网站服务器上部署Web站点。
为网站服务器与网关服务器编写firewalld规则。

实验步骤&＃xff1a;
Pc2添加vm1&＃xff0c;vm2&＃xff0c;vm3

Pc1、pc2、pc3、pc4开启防火墙功能
[root&＃64;centos01 ~]# systemctl start firewalld
[root&＃64;centos02 ~]# systemctl start firewalld
[root&＃64;centos03 ~]# systemctl start firewalld
[root&＃64;centos04 ~]# systemctl start firewalld

Pc2修改三个网卡的IP
1&＃xff09;先将ens34和ens35复制上内容并修改
[root&＃64;centos02 ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32
/etc/sysconfig/network-scripts/ifcfg-ens34
[root&＃64;centos02 ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32
/etc/sysconfig/network-scripts/ifcfg-ens35

[root&＃64;centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

[root&＃64;centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens34

[root&＃64;centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens35

重启网卡
[root&＃64;centos02 ~]# systemctl restart network
2)pc1、pc3、pc4分别修改ip、网关和对应的VMnet&＃xff08;如图所示&＃xff09;
[root&＃64;centos01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

重启网卡
[root&＃64;centos01 ~]#systemctl restart network
[root&＃64;centos03 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

重启网卡
[root&＃64;centos03 ~]#systemctl restart network
[root&＃64;centos04 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

重启网卡
[root&＃64;centos04 ~]#systemctl restart network
测试互通
[root&＃64;centos02 ~]# ping 192.168.100.10

[root&＃64;centos02 ~]# ping 192.168.200.30

[root&＃64;centos02 ~]# ping 192.168.10.40

开启pc2和pc4的SSH功能并修改默认端口&＃xff0c;为三个网卡分配区域、开启pc2路由功能
Pc1、pc3、pc4修改默认区域
1&＃xff09;开pc2、pc4的SSH并修改默认端口
[root&＃64;centos02 ~]# vim /etc/ssh/sshd_config

[root&＃64;centos02 ~]# systemctl start sshd
[root&＃64;centos04 ~]# vim /etc/ssh/sshd_config

[root&＃64;centos04 ~]# systemctl restart sshd
2&＃xff09;pc2网卡分配区域并开启路由功能
[root&＃64;centos02 ~]# firewall-cmd --add-interface&＃61;ens32 --zone&＃61;trusted
[root&＃64;centos02 ~]# firewall-cmd --get-zone-of-interface&＃61;ens32

[root&＃64;centos02 ~]# firewall-cmd --add-interface&＃61;ens34 --zone&＃61;external
[root&＃64;centos02 ~]# firewall-cmd --get-zone-of-interface&＃61;ens34

[root&＃64;centos02 ~]# firewall-cmd --add-interface&＃61;ens35 --zone&＃61;dmz
[root&＃64;centos02 ~]# firewall-cmd --get-zone-of-interface&＃61;ens35

Pc2开启路由功能
[root&＃64;centos02 ~]# vim /etc/sysctl.conf

[root&＃64;centos02 ~]# sysctl -p //查看路由功能是否开启生成

3&＃xff09;Pc1、pc2、pc3添加默认区域
[root&＃64;centos01 ~]# firewall-cmd --set-default-zone&＃61;trusted
[root&＃64;centos01 ~]# firewall-cmd --get-default-zone //查看默认区域

[root&＃64;centos03 ~]# firewall-cmd --set-default-zone&＃61;external
[root&＃64;centos03 ~]# firewall-cmd --get-default-zone

[root&＃64;centos04 ~]# firewall-cmd --set-default-zone&＃61;dmz
[root&＃64;centos04 ~]# firewall-cmd --get-default-zone

Pc3、pc4开启https服务设置Web站点
1&＃xff09;pc3、pc4开启https服务
[root&＃64;centos03 ~]# yum -y install httpd mod_ssl

[root&＃64;centos03 ~]# systemctl start httpd

[root&＃64;centos04 ~]# yum -y install httpd mod_ssl

[root&＃64;centos04 ~]# systemctl start httpd

2&＃xff09;设置Web
编写网页

编写网页

编写防火墙规则
1&＃xff09;为网站dmz添加tcp的12345端口和https服务
https
[root&＃64;centos04 ~]# firewall-cmd --zone&＃61;dmz --add-service&＃61;https --permanent

[root&＃64;centos04 ~]#firewall-cmd --reload

[root&＃64;centos04 ~]#firewall-cmd --zone&＃61;dmz --list-service

端口
[root&＃64;centos04 ~]# firewall-cmd --zone&＃61;dmz --add-service&＃61;https --permanent

[root&＃64;centos04 ~]#firewall-cmd --reload

[root&＃64;centos04 ~]#firewall-cmd --zone&＃61;dmz --list-port

禁止ping
[root&＃64;centos04 ~]#firewall-cmd --zone&＃61;dmz --add-icmp-block&＃61;echo-request --permanent

[root&＃64;centos04 ~]#firewall-cmd --reload

[root&＃64;centos04 ~]#firewall-cmd --list-icmp-blocks

删除ssh
[root&＃64;centos04 ~]#firewall-cmd --zone&＃61;dmz --remoce-service&＃61;ssh --permanent

[root&＃64;centos04 ~]#firewall-cmd --reload

[root&＃64;centos04 ~]#firewall-cmd --zone&＃61;dmz --list-services

3)在网关服务器上编写外部区域(external)规则
添加tcp的12345端口
[root&＃64;centos02 ~]# firewall-cmd --zone&＃61;external --add-port&＃61;12345/tcp --permanent

[root&＃64;centos02 ~]# firewall-cmd --reload

[root&＃64;centos02 ~]# firewall-cmd --zone&＃61;external --list-ports

删除extetrnal区域ssh
[root&＃64;centos02 ~]# firewall-cmd --zone&＃61;external --remove-service&＃61;ssh --permanent

[root&＃64;centos02 ~]# firewall-cmd --reload

[root&＃64;centos02 ~]# firewall-cmd --zone&＃61;external --list-services

禁止external区域Ping
[root&＃64;centos02 ~]# firewall-cmd --zone&＃61;external --add-icmp-block&＃61;echo-request --permanent

[root&＃64;centos02 ~]# firewall-cmd --reload

[root&＃64;centos02 ~]# firewall-cmd --list-all

验证&＃xff1a;
Pc1访问pc4网站

Pc3使用12345端口远程登录pc2外部接口(ens34)

Pc1使用12345端口远程登录pc4