企业内网防火墙搭建实验

最新推荐文章于 2024-07-31 16:17:31 发布
最新推荐文章于 2024-07-31 16:17:31 发布
阅读量4.1k 收藏 17
点赞数 1
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QwQNightmare/article/details/105431776
版权

企业内网防火墙搭建实验

在一些企业中经常会搭建一些如下图所示的网络架构,在企业内部不仅可以正常访问内部网络,也可以正常访问外网。此外外网客户端也可以正常访问企业内部的web服务器。运维人员通常会通过额外端口号远程ssh连接web服务器进行日常维护。下图则是本次实验环境的网络拓扑图。

在这里插入图片描述

实验环境准备

一台内网客户端IP地址:192.168.20.20/24
一台防火墙作为内网、外网和web的网关。IP地址分别为:192.168.20.2/24、192.168.159.2/24、192.168.133.2/24.
一台内网web服务器IP地址为:192.168.133.100/24。
一台外网客户端IP地址为:192.168.159.100/24.

web端的防火墙规则

首先在web端需要做一下规则。
1.将web的端口放入到dmz区域。
2.移除防火墙dmz区域的ssh服务。
3.防火墙过滤http请求,方通https请求。

1.将web的ens33端口放入到dmz区域。
firewall-cmd --set-default-zone=dmz

2.移除防火墙dmz区域的ssh服务。防火墙过滤http请求,方通https请求。
firewall-cmd --zone=dmz --remove-service=ssh --permanent
firewall-cmd --zone=dmz --add-service=https --permanent

3.重载防火墙策略。
firewall-cmd --reload

4.查看修改后的策略
[root@web ~]# firewall-cmd --zone=dmz --list-all
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: https
  ports: 12345/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

在web端的dmz区域添加禁止ping防火墙规则。

firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

修改web端的ssh端口。
在这里插入图片描述

企业防火墙配置规则

首先需要开启防火墙的路由功能。

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

将ens33、ens36和ens37分别配置到防火墙的trusted、dmz和external区域。

将防火墙的默认区域设置为external区域。
firewall-cmd --set-default-zone=external

firewall-cmd --change-interface=ens33 --zone=trusted --permanent
firewall-cmd --change-interface=ens36 --zone=dmz --permanent

在这里插入图片描述
已经可以远程12345端口连接web端了。
在这里插入图片描述

external区域做端口转发

防火墙需要将外部的443端口的请求发送到内网的web端进行处理。

firewall-cmd --add-forward-port=port=443:proto=tcp:toaddr=192.168.133.100 --permanent
来访请求的端口和协议,需要转发到的端口和IP地址。

 firewall-cmd --reload
重载防火墙

在这里插入图片描述
external区域禁止ssh连接请求。

firewall-cmd --zone=external --remove-service=ssh --permanent
firewall-cmd --reload

防火墙的地址伪装

将内网的客户端IP地址映射成公网地址,类似于easy ip。

firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.20.0/24 masquerade'

这样企业防火墙配置就完成了。

QwQNightmare
关注
专栏目录
Linux为企业搭建最为实用的防火墙.pdf
11-04
"Linux防火墙搭建指南" Linux操作系统是非常安全和稳定的操作系统,特别是在服务器操作系统方面,它在稳定性和安全性方面远远优于Windows操作系统。因此,为企业搭建防火墙是非常必要的。本文将指导读者如何使用Red...
配置公司内网防火墙安全区域和策略并配置NAT访问1.1.1.1
weixin_72584149的博客
01-28 487
1.先配二层的交换机LSW7,生产区在vlan 2 ,办公区在vlan 3 ,g0/0/1 是access类型 ,g0/0/2是 access类型 , g0/0/3是trunk类型。2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10。如上操作,在创建一个vlan Tag为3的,安全区域为BG的,IP为10.0.2.1/24的g1/0/3.2的子接口。配置g1/0/0接口IP地址为10.0.3.1/24。
内网安全-防火墙防火墙、协议、策略
12-14 3232
内网安全-防火墙防火墙、协议、策略
防火墙公司股权架构设计图/防火墙公司怎么搭建-手把手教网安教学
最新发布
程序员六七的博客
07-31 410
随着信息技术的快速发展,网络已成为企业运营不可或缺的一部分。然而,随之而来的是网络安全威胁的不断增加。在这样的背景下,很多老板考虑搭建防火墙公司
搭建真实内网环境(防火墙搭建
热门推荐
内心不种满鲜花就会长满杂草
04-17 1万+
目录 一. 内网环境设计 二. 环境搭建 一. 内网环境设计 如下,我们要构建一个最真实的网络环境。模拟两个内网,在一个内网中攻击另外一台也处在内网中的服务器。其用防火墙与互联网进行隔离 需要的设备 kali,win7两台,win2012,两个防火墙(m0n0) m0n0:M0n0wall是基于FreeBsd内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、Ipsec、流量控制、无线网络支持等功能。如果不
【如何快速搭建企业级的WAF防火墙
zheng_le的博客
05-14 1995
基于 Centos -7、 OpenResty、Best-Nginx-Waf 快速搭建企业级的网站WAF防火墙;
防火墙篇】03. 内网接口设置 ❀ 网康防火墙
防火墙技术专栏
12-29 6760
网康防火墙有四个接口,可以分别用来连接多条宽带或多个内网。这里我们介绍比较常见的一种环境,那就是只有一条宽带且内网电脑比较多,我们可以将除宽带接口外的其它三个接口都作为内网使用,划分不同的网段,各网段都可以上网,并且不同网段之间允许互相访问。...
如何配置防火墙?看这篇就够了
wuli1024的博客
11-27 1万+
例如,一个企业按图 1-3 划分防火墙的安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
linux防火墙配置教程之允许转发实验(2)
01-20
 在上一次“Linux基础网络搭建实验”中,内、外网虚拟机之所以能Ping通,是因为暂时关闭了防火墙,然而现实中这样操作显然存在很大的安全隐患,所以本次实验在上次实验的基础下,开启防火墙,并配置防火墙规则,...
基于eNSP加防火墙的千人中型校园/企业网络规划与设计(附所有配置命令)
06-04
文件中包含了基于eNSP加防火墙的千人中型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
Centos8 搭建DNS服务器
11-22
Centos8 搭建DNS服务器 一、 DNS概述 DNS(Domain Name System)是域名管理系统,负责将人类易于记忆的域名转换为机器易于识别的IP地址。域名由特定的格式组成,用来表示互联网中某一台计算机或者计算机组的名称,...
linux搭建squid代理服务器的完整步骤
01-10
前言 本文主要给大家介绍了关于 linux 搭建squid代理服务器的相关内容,下面话不多说了,来一起...1.配置内网web服务器、网关服务器、外网Web服务器的IP地址,开启网关的路由转发,关闭网关的防火墙,测试内网web服务器
eNSP校园网(企业网)详细拓扑完整设计及相关配置文件资源包
05-28
8.防火墙配置服务器dmz区与内网的trust区域 9.出口路由器配置nat地址转换,并且公网包含两条主副出口 10.出口路由器配置ACL策略 (有意向了解的+Q 1320210031 获取拓扑设计图片,后自行思考是否购买资源。相关毕设...
HCNP-Security_CSSN_V2.0实验手册.pdf
07-18
- 内网用户防病毒攻击实验:确保内部网络的安全性。 - **URL过滤实验**: - 配置URL过滤实验:实施基于URL的访问控制策略。 - **RBL过滤配置实验**: - 配置预定义方式RBL过滤:利用RBL列表阻止恶意IP地址的访问...
公司局域网如何组建公司局域网搭建方法.doc
07-04
路由器提供内网和外网的 链接和VLAN(虚拟局域网)的划分,以及各种防火墙和路由功能的配置。而交换机一头 连到路由器上,作为一个子网,另一头链接子网中的各台终端。划分几个子网,则从路 由连出几台交换机即可。...
Linux搭建局域网代理服务器.pdf
11-01
总结:本文详细介绍了如何在Linux环境下利用iptables和NAT技术搭建局域网代理服务器,不仅讲解了代理服务器的基础知识,还提供了具体的实验环境和步骤,有助于读者实践操作,提升Linux网络管理技能。
配置防火墙内网访问外网
2301_77296801的博客
11-02 4002
实现内网外网互通是一个复杂而又必要的过程,需要考虑多种因素并采取适当的措施。这包括了设置网络架构、配置防火墙规则、实现VPN和端口映射等等。在实现过程中,需要十分谨慎和细心,保证网络安全和数据的稳定传输。
手动部署企业防火墙
c_hristmas的博客
07-25 504
部署企业防火墙 手动部署防火墙 (1)清空所有的规则,用户自定义链以及计数器。 [root@192 ~]# iptables -F [root@192 ~]# iptables -X [root@192 ~]# iptables -Z (2)将默认规则设置为DROP ​ 先设置ssh相关数据为ACCEPT: //两种使用一种就可以 [root@192 ~]# iptables -A INPUT -p tcp -s 192.168.40.0/24 -j ACCEPT [r
企业级Firewalld防火墙】【企业防火墙配置】【fierwalld 操作案例】
mingqing的博客
10-05 1500
文章目录企业级Firewalld防火墙**1、区域:**命令详解**firewalld配置使用**更改默认区域向public区域添加服务企业防火墙配置iptables -Ffierwalld 操作案例 企业级Firewalld防火墙 rhel 7:firewall-cmd工具,firewalld服务 1、区域: firewalld将网卡对应到不同的区域(zone),通过不同的zone定义了不同的安全等级 命令详解** firewalld配置使用** 查看默认区域: 更改默认区域 向public区域
企业内网邮件服务器与防火墙DNS搭建教程
实验旨在模拟企业内部网络环境,搭建一个具备邮件发送功能的局域网,并配置防火墙、DNS服务器和Web服务器,以便实现内外网通信。以下是实验的主要知识点: 1. **实验背景**:由于业务需求,公司需搭建邮件服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值