📝理论讲解:
IP地址伪装和转发
IP地址伪装
伪装的作用
多个私网IP地址映射到一个防火墙外网公网IP地址
伪装特点
节约公网IP地址
增强网络安全性隐藏内部网络
延迟增加
端口转发
端口转发的作用
将内网服务器IP地址和端口号映射到防火墙外网IP地址和端口
特点
将内网服务器发布到互联网使用
防火墙规则的类型
直接规则
优先级最高
区域规则
从上到下检测区域规则
匹配不在检查直接转发
区域最后一条默认拒绝所有
富语言规则
优先级最低
富语言规则常见元素
source address destination address port
源IP地址或者网络 目标IP地址或者网络 端口号
Protocol协议 forward-port 防火墙动作
TCP 端口转发 accept:允许
UDP drop:拒绝通信不提示
reject:拒绝通信给用户提醒
📖实验配置与实现:
拓扑图:
推荐步骤:
- 服务器客户端配置IP地址设置网络,安装Apache服务启动服务设置主页
- 启动防火墙服务接口添加指定区域,web服务器启动防火墙服务接口添加指定区域
- 配置DMZ和external区域的web服务远程管理使用12345端口访问,阻止内网ping通DMZ和external区域的web服务器,允许内网主机使用https协议访问DMZ和external区域的web服务器,配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口
实验步骤:
配置Firewalld防火墙服务器
添加三块网卡分别连接三个区域
配置ens32网卡IP地址
生成DMZ网卡和外网网卡
配置DMZ区域网卡IP地址
配置external区域网卡IP地址
查看配置的IP地址
配置DMZ区域的web服务器
修改网卡模式
修改IP地址
查看IP地址
删除系统源挂载系统到/mnt
安装Apache服务器
设置网站主页
启动服务设置开机自动启动
配置external区域的web服务器
设置网卡模式
配置IP地址
查看IP地址
删除系统源挂载系统到/mnt
安装Apache服务器和https模块
设置网站主页
启动服务设置开机自动启动
配置win10客户端
修改win10网卡
配置IP地址
查看IP地址
启动防火墙服务接口添加指定区域,web服务器启动防火墙服务接口添加指定区域
配置防火墙服务器
启动防火墙服务器设置开机自动启动
查看防火墙服务运行状态
将接口加入到指定的区域
设置默认区域
查看激活区域
开启路由功能
配置DMZ区域的web服务器防火墙
启动防火墙服务器设置开机自动启动
查看防火墙服务运行状态
将接口加入到指定的区域
设置默认区域
查看激活区域
配置external区域的web服务器防火墙
启动防火墙服务器设置开机自动启动
查看防火墙服务运行状态
将接口加入到指定的防火墙区域
设置默认区域
查看激活区域
配置DMZ和external区域的web服务远程管理使用12345端口访问,阻止内网ping通DMZ和external区域的web服务器,允许内网主机使用https协议访问DMZ和external区域的web服务器,配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口
配置DMZ和external区域的web服务远程管理使用12345端口访问
修改DMZ区域的web服务器ssh配置文件
重启启动ssh服务查看服务运行状态
添加防火墙规则允许指定端口ssh访问
修改external区域的web服务器ssh配置文件
重启sshd服务监听ssh服务运行状态
添加防火墙规则允许12345端口
内网客户端ssh远程访问DMZ的web服务器
输入密码
连接成功
内网客户端ssh远程访问external的web服务器
输入密码
连接成功
阻止内网ping通DMZ和external区域的WEB服务器
配置防火墙规则禁止ping通DMZ区域web服务器
配置防火墙规则禁止ping通external区域web服务器
内网客户端验证测试
允许内网主机使用https协议访问DMZ和external区域的web服务器
配置防火墙规则允许内网主机使用https协议访问DMZ区域的web服务器
配置防火墙规则允许内网主机使用https协议访问external区域的web服务器
使用内网客户端访问DMZ区域的网站
使用内网客户端访问external区域的网站
配置防火墙伪装功能内网客户端访问外网网站IP地址进行伪装
删除防火墙自带的外网伪装功能
添加伪装功能将192.168.100.0/24网络伪装到防火墙外网IP地址
查看外网服务器日志伪装成为了防火墙外网IP地址访问网站
访问网站服务器
配置端口映射将DMZ服务器使用http协议将IP地址192.168.10.10的80端口映射到防火墙外网IP地址192.168.20.20的80端口
配置防火墙规则将DMZ区域的192.168.10.10的80端口通过https协议映射到防火墙外网IP地址和端口
配置防火墙规则允许外网http协议端口
查看防火墙服务器配置的规则
配置DMZ区域的web服务器防火墙允许http协议和端口入站
查看DMZ区域的web服务器防火墙规则
外网external区域的web服务器访问发布的网站
查看DMZ区域的web服务器日志