配置Firewalld防火墙

📝理论讲解:

IP地址伪装和转发

IP地址伪装  

 伪装的作用

  多个私网IP地址映射到一个防火墙外网公网IP地址

 伪装特点  

   节约公网IP地址

  增强网络安全性隐藏内部网络

  延迟增加

端口转发

端口转发的作用  

 将内网服务器IP地址和端口号映射到防火墙外网IP地址和端口

特点  

 将内网服务器发布到互联网使用

防火墙规则的类型

 直接规则  

  优先级最高

区域规则

    从上到下检测区域规则

    匹配不在检查直接转发

   区域最后一条默认拒绝所有

富语言规则  

 优先级最低

富语言规则常见元素

source address            destination address           port

源IP地址或者网络          目标IP地址或者网络           端口号

Protocol协议                 forward-port                   防火墙动作

TCP                               端口转发                          accept：允许

 UDP                                                                   drop：拒绝通信不提示

                                                                      reject：拒绝通信给用户提醒

📖实验配置与实现:

拓扑图:

推荐步骤:

• 服务器客户端配置IP地址设置网络，安装Apache服务启动服务设置主页
• 启动防火墙服务接口添加指定区域，web服务器启动防火墙服务接口添加指定区域
•  配置DMZ和external区域的web服务远程管理使用12345端口访问，阻止内网ping通DMZ和external区域的web服务器，允许内网主机使用https协议访问DMZ和external区域的web服务器，配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口

实验步骤:

​配置Firewalld防火墙服务器

添加三块网卡分别连接三个区域

配置ens32网卡IP地址

生成DMZ网卡和外网网卡

配置DMZ区域网卡IP地址

配置external区域网卡IP地址

查看配置的IP地址

配置DMZ区域的web服务器

修改网卡模式

修改IP地址

查看IP地址

删除系统源挂载系统到/mnt

安装Apache服务器

设置网站主页

启动服务设置开机自动启动

 配置external区域的web服务器

设置网卡模式

配置IP地址

查看IP地址

删除系统源挂载系统到/mnt

安装Apache服务器和https模块

设置网站主页

启动服务设置开机自动启动

配置win10客户端

修改win10网卡

配置IP地址

查看IP地址

启动防火墙服务接口添加指定区域，web服务器启动防火墙服务接口添加指定区域

配置防火墙服务器

启动防火墙服务器设置开机自动启动

查看防火墙服务运行状态

将接口加入到指定的区域

设置默认区域

查看激活区域

开启路由功能

配置DMZ区域的web服务器防火墙

启动防火墙服务器设置开机自动启动

查看防火墙服务运行状态

将接口加入到指定的区域

设置默认区域

查看激活区域

配置external区域的web服务器防火墙

启动防火墙服务器设置开机自动启动

查看防火墙服务运行状态

将接口加入到指定的防火墙区域

设置默认区域

查看激活区域

配置DMZ和external区域的web服务远程管理使用12345端口访问，阻止内网ping通DMZ和external区域的web服务器，允许内网主机使用https协议访问DMZ和external区域的web服务器，配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口

配置DMZ和external区域的web服务远程管理使用12345端口访问

修改DMZ区域的web服务器ssh配置文件

重启启动ssh服务查看服务运行状态

添加防火墙规则允许指定端口ssh访问

修改external区域的web服务器ssh配置文件

重启sshd服务监听ssh服务运行状态

添加防火墙规则允许12345端口

内网客户端ssh远程访问DMZ的web服务器

输入密码

连接成功

内网客户端ssh远程访问external的web服务器

输入密码

连接成功

阻止内网ping通DMZ和external区域的WEB服务器

配置防火墙规则禁止ping通DMZ区域web服务器

配置防火墙规则禁止ping通external区域web服务器

内网客户端验证测试

允许内网主机使用https协议访问DMZ和external区域的web服务器

配置防火墙规则允许内网主机使用https协议访问DMZ区域的web服务器

配置防火墙规则允许内网主机使用https协议访问external区域的web服务器

使用内网客户端访问DMZ区域的网站

使用内网客户端访问external区域的网站

配置防火墙伪装功能内网客户端访问外网网站IP地址进行伪装

删除防火墙自带的外网伪装功能

添加伪装功能将192.168.100.0/24网络伪装到防火墙外网IP地址

查看外网服务器日志伪装成为了防火墙外网IP地址访问网站

访问网站服务器

配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口

配置防火墙规则将DMZ区域的192.168.10.10的80端口通过https协议映射到防火墙外网IP地址和端口

配置防火墙规则允许外网http协议端口

查看防火墙服务器配置的规则

配置DMZ区域的web服务器防火墙允许http协议和端口入站

查看DMZ区域的web服务器防火墙规则

外网external区域的web服务器访问发布的网站

查看DMZ区域的web服务器日志