Linux--防火墙,实验案例:基于区域、服务、端口的访问控制

已于 2024-01-13 10:09:21 修改
阅读量704 收藏 10
点赞数 14
分类专栏: Linux 文章标签: linux 服务器 网络
于 2024-01-09 19:07:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77023501/article/details/135482883
版权

实验环境

       某公司的Web服务器,网关服务器均采用Linux CentOS 7.3操作系统,如图2.13所示。为了 加强网络访问的安全性,要求管理员熟悉firewalld防火墙规则的编写,以便制定有效、可行的主机防护策略。

需求描述

> 网关服务器ens36网卡分配到external(外部)区域,ens37网卡分配到trusted(信任)区域,ens38网卡分配到dmz(非军事)区域。

> 网站服务器和网关服务器将SSH默认端口都改为12345。

> 网站服务器开启https,过滤未加密的 http 流量,且拒绝ping。

推荐步骤

①基本环境配置。

(1)为网关服务器与网站服务器配置主机名及网卡地址,并更改SSH的侦听地址。

(2)开启网关服务器的路由转发功能。

②在网站服务器上部署Web站点。

③为网站服务器与网关服务器编写firewalld规则。

④ 实验结果验证。

*实验外内容(永久关闭防火墙)

[root@node01 ~]# systemctl stop firewalld.service     //暂时关闭防火墙  
[root@node01 ~]# systemctl disable firewalld.service  //永久关闭,即开机不会自动启动
[root@node01 ~]# vim /etc/sysconfig/selinux           //和上一步共用才能永久关闭防火墙

SELINUX=disabled                                      //将原来的enforcing改为disabled

1.基本环境配置

(1)在网关服务器上配置主机名及网卡地址。

[root@node01 ~]# hostname gateway-server

[root@node01 ~]# vim /etc/hostname

gateway-server

[root@gateway-server ~]# ifconfig

(2)开启网关服务器的路由转发功能。

[root@gateway-server ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@gateway-server ~]# sysctl -p

(3)配置 web服务器主机名及网卡地址。

[root@node01 ~]# hostname web
[root@node02 ~]# vim /etc/hostname

web

[root@web ~]# ifconfig

2.网站服务器环境搭建

(1)安装httpd和mod_ssl 软件包。

[root@web ~]# mount /dev/cdrom /mnt/
[root@web ~]# cd /etc/yum.repos.d/
[root@web yum.repos.d]# vim centos7.repo

[local]
name=CnetOS 7.3
baseurl=file:///mnt/
enabled=1
gpgcheck=0

[root@web ~]# yum -y install httpd mod_ssl

(2)启用并启动httpd服务。

[root@web ~]# systemctl start httpd
[root@web ~]# systemctl enable httpd

(3)创建网站首页测试页index.html。

[root@web ~]# vim /var/www/html/index.html

<h1>this is a web</h1>

(4)更改SSH的侦听地址,并重启sshd服务,需要注意的是这里需要将SELinux关闭。

[root@web ~]# vim /etc/ssh/sshd_config

Port 12345

[root@web ~]# systemctl restart sshd

3.在网站服务器上启动并配置firewalld 防火墙

(1)在网站服务器上启动firewalld防火墙并将默认区域设置为dmz区域,firewalld在系统安装 后默认处于启动状态,如果不确定机器上的firewalld是否启动,可使用systemctl status firewalld或 firewall-omd--state 命令查看其运行状态。

[root@web ~]# systemctl start firewalld.service 
[root@web ~]# systemctl enable firewalld.service

[root@web ~]# systemctl status firewalld.service

(2)为dmz区域打开https服务及添加TCP的12345端口。

[root@web ~]# firewall-cmd --zone=dmz --add-service=https --permanent 

[root@web ~]# firewall-cmd --zone=dmz --add-port=12345/tcp --permanent

(3)禁止ping。

[root@web ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

(4)因为预定义的SSH服务已经更改默认端口,所以将预定义SSH服务移除。

[root@web ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent

(5)重新加载Firewalld激活配置,并查看刚才的配置。

[root@web ~]# firewall-cmd --reload 

[root@web ~]# firewall-cmd --zone=dmz --change-interface=ens33

[root@web ~]# firewall-cmd --list-all --zone=dmz

4.在网关服务器上配置firewalld 防火墙

(1)验证 firewalld在网关服务器上启动并且正在运行。

[root@gateway-server ~]# firewall-cmd --state

[root@gateway-server ~]# systemctl start firewalld.service 
[root@gateway-server ~]# systemctl enable firewalld.service 

[root@gateway-server ~]# firewall-cmd --state

(2)设置默认区域为external 区域,并查看配置结果。

[root@gateway-server ~]# firewall-cmd --set-default-zone=external 

[root@gateway-server ~]# firewall-cmd --list-all

(3)将ens37网卡配置到trusted区域,将ens38配置到dmz区域。

[root@gateway-server ~]# firewall-cmd --change-interface=ens37 --zone=trusted 

[root@gateway-server ~]# firewall-cmd --change-interface=ens38 --zone=dmz

(4)查看配置情况如下。

[root@gateway-server ~]# firewall-cmd --get-active-zones

(5)在企业内网测试机上访问网站服务器,可以成功访问,如图中所示。

(6)更改SSH的侦听端口,并重启服务(需关闭SELinuJx)。

[root@gateway-server ~]# vim /etc/ssh/sshd_config

Port 12345

[root@gateway-server ~]# systemctl restart sshd

(7)配置external 区域添加TCP的12345端口。

[root@gateway-server ~]# firewall-cmd --zone=external --add-port=12345/tcp --permanent

(8)配置external 区域移除SSH服务。

[root@gateway-server ~]# firewall-cmd --zone=external --remove-service=ssh --permanent

(9)配置external 区域禁止ping。

[root@gateway-server ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent

(10)重新加载防火墙激活配置。

[root@gateway-server ~]# firewall-cmd --reload

(11)使用Internet测试用机访问网站服务器。

陈建华01
关注
  • 14
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
网安实验6-Linux防火墙访问控制
YkingH的博客
03-31 684
网安实验6,实现Linux防火墙访问控制,河大同学看过来,详细教程在这里~
Linux防火墙实验(iptables)Linux Firewall Exploration Lab
CTFwp笔记1-rsa基本知识+共模攻击
08-30 2681
​   iptabels是与Linux内核集成的包过滤防火墙系统,软件的结构是。
Linux防火墙规则和SNAT实验和DNAT实验
生夏夏的博客
03-07 477
Linux防火墙功能是由内核实现的,在2.4版及以后的内核中,包过滤机制是netfilter,管理工具是iptables。netfilter是Linux内核中的包过滤防火墙功能体系,称为Linux防火墙的内核态。iptables是用来管理防火强墙的命令工具,为防火墙体系提供过滤规则,决定如何过滤或处理到达防火墙主机的数据包,称为Linux防火墙的用户态。
Linux 防火墙实验
cuisidong1997的博客
05-14 559
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源。firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口。firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口。
防火墙配置实验
最新发布
m0_64112419的博客
12-09 1619
iptables -I INPUT -p ICMP –icmp-type 0 -d 192.168.110.0/24 ACCEPT:这条规则是用来配置防火墙,指示允许从目标地址为192.168.110.0/24的网络发送过来的ICMP回显应答(类型为0)的数据包进入系统。防火墙的规则都是双向的,而且ping使用的是ICMP报文,他的ICMP type 为8,而它的响应ICMP报文的type为0,我们要实现以上功能,只需要让ICMP type 8 报文进不来,但出得去;动作可以是允许通过、阻止或修改数据包。
实验案例:远程管理防火墙(华为USG6600防火墙)
ultralinux
05-21 2154
实验环境 随着业务的拓展,xxx公司对网络安全要求较高,管理员小王新购置了一台华为USG6600防火墙,已经连接在企业边界,并投入使用,为了方面后续对设备的管理,小王需要对防火墙开启Web管理及SSH管理功能。 需求描述 在Win7上可以通过浏览器监控及配置防火墙。 在Win7上可以通过CRT软件SSH连接防火墙,通过命令行配置防火墙。 配置使用Web方式管理 配置接口IP地址允许http和https连接 [F1]interface g1/0/0 [F1-GigabitEthernet1/0/0]ip ad
Native-Miuchiz-Handheld-USB-Utilities:实验Linux端口
03-10
Native-Miuchiz-Handheld-USB-Utilities:实验Linux端口
Linux 服务器下修改防火墙允许该端口远程访问的方法
01-10
1.问题描述 出于安全考虑,新搭建的服务器集群只开放指定几个...以上这篇在Linux 服务器下修改防火墙允许该端口远程访问的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
arma-server-web-admin:基于Web的Arma服务器管理器
05-06
Arma服务器管理员 一个易于使用的Web管理面板,用于Arma服务器。 特征 在同一管理面板中创建游戏服务器的多...使用的Web端口 主持人 要监听的IP或主机名 类型 使用哪种服务器,可以是“ linux”,“ windows”或“ wi
Linux操作系统教程-实训与项目案例原稿
04-27
最全面的Linux学习指南,涵盖面广,知识点细腻!
网络安全》实验指导书 Linux系统iptables防火墙
03-24
网络安全》实验指导书 Linux系统iptables防火墙
Linux防火墙搭建(VM)
10-30
以centOS为例的防火墙的搭建、配置以及故障的解决;iptables的使用
Linux iptables防火墙详解(四)——配置实战
永远是少年
12-06 1663
本文主要内容是Linux iptables防火墙配置实战。 1、配置场景 2、配置分析 3、配置命令 4、注意事项
linux实践案例1-14
HYFarashi的博客
03-26 1790
案例01:IP地址 1)IP地址的分类及范围 • IP地址:唯一标识计算机 – 一共32个二进制位 – 表示为4个十进制数,以 . 隔开 IP的分类: • 用于一般计算机网络 – A类:1 ~ 127 网+主+主+主 – B类:128 ~ 191 网+网+主+主 – C类:192 ~ 223 网+网+网+主 • 组播及科研专用 – D类:224 ~ 239 组播 – E类:240 ~ 254 科研 案例02:ls命令练习 1)查看根目录下内容 [root@server0 ~]# ls
iptables详解
wdt3385的专栏
12-25 4769
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux防火墙(7)
yyj1781572的博客
02-11 1194
通过该实验了解Linux防火墙iptables实现原理,掌握iptables基本使用方法,能够利用iptables对操作系统进行加固。
linux防火墙禁IP
04-17 1242
linux下实用iptables封ip段的一些常见命令: 封单个IP的命令是: iptables -I INPUT -s 211.1.0.0 -j DROP 封IP段的命令是: iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I INPUT -s 211.2.0.0/16 -j DROP iptables -I INPUT -s 2...
linux iperf3: error - unable to connect to server: Connection timed out
07-28
问题:linux iperf3: error - unable to connect to server: Connection timed out 回答: 当在使用iperf3工具进行测试时,如果在客户端开启iperf3 -c时出现"unable to connect to server: Connection timed out"的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值