【实验环境】
某公司的web服务器、网关服务器均采用Linux centos7.3操作系统,如图3.6所示。为了加强网络访问的安全性,要求管理员熟悉firewalld防火墙规则的编写,以便制定有效、可行的主机防护策略。
【需求描述】
网关服务器连接互联网网卡ens32地址为100.1.1.10,为公网IP地址,分配到Firewall的external区域;连接内网网卡ens34地址为192.168.1.1,分配到Firewall的trusted区域;连接服务器网卡ens36地址为192.168.2.1,分配到firewall的dmz区域;
网站服务器和网关服务器均通过ssh来远程管理,为了安全,将ssh默认端口改为12345,;
网站服务器开启https,过滤未加密的http流量。
网站服务器拒绝ping,网关服务器拒绝来自互联网上的ping。
公司内网用户需要通过网关服务器共享上网。
互联网用户需要访问网站服务器。
【推荐步骤】
一、基本环境配置。
1.在网关服务器、网站服务器上配置主机名及网卡地址,并更改ssh的侦听地址。
2.开启网关服务器的路由转发功能,保证全网可以互通。
二、在网站服务器上部署web站点。
三、在网站服务器与网关服务器上编写Firewalld规则。
验证:企业内网测试机可以访问网站服务器
验证:互联网主机通过ssh登录网关外部接口地址12345端口
验证:在企业内网测试机上ssh登录web网站服务器的12345端口
四、配置IP伪装与端口转发
1.内网用户通过网关服务器共享上网
验证:在内网主机上可以访问外网网站
验证:在DMZ的 网站服务器上可以访问外网网站
2.为内网地址开启地址IP伪装
验证:在DMZ网站服务器上测试,无法访问外网网站
3.配合端口转发实现互联网用户访问内部web服务器
验证:互联网测试机可以访问内部web服务
4.为内网服务器申请一个新的公网IP地址100.1.1.15
验证:在互联网测试机上访问测试结果
firewall防火墙的地址伪装和端口转发
最新推荐文章于 2024-06-11 20:43:59 发布