firewalld应用配置实战(一)

最新推荐文章于 2023-12-12 09:28:27 发布
最新推荐文章于 2023-12-12 09:28:27 发布
阅读量860 收藏 2
点赞数 1
分类专栏: Linux firewalld Centos7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iBosea/article/details/89189541
版权
Linux 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
Centos7
5 篇文章 0 订阅
订阅专栏
firewalld
2 篇文章 0 订阅
订阅专栏

说明:

网关服务器连接互联网网卡为eth0地址为100.1.1.10,他是个公网的地址。分配到external(外部区域);连接Web服务器网卡接口为eth2地址为192.168.2.1,分配到firewalld的dmz区域。

要求:

  1. Web服务器和网关服务器均通过SSH远程控制,为了安全,将SSH的默认端口号改为:6682
  2. Web服务器开启Https,过滤未加密的http流量,仅允许通过Https访问。
  3. Web服务器拒绝Ping。

环境:

主机系统网卡:IP/Netmask
①.firewalld&网关Centos7.3eth0:100.1.1.10/24
①.eth1:192.168.1.1/24
①.eth2:192.168.2.1/24
②.internet测试机Centos7.3eth0:100.1.1.20/24
3?.内网测试机Centos7.3eth0:192.168.1.10
④.Web服务器(DMZ)Centos7.3eth0:192.168.2.10

拓扑图如下:
拓扑图
实验开始:

1.在firewalld服务器上配置主机名及网卡的IP地址

1.1 修改主机名

vim /etc/hostname     里面写:gateway-server

1.2 hostname gateway-server

1.3 bash

1.4 修改网卡参数(VMware配置多网卡这里不再累赘)

1.5 开启firewalld服务器路由转发功能

    	vim /etc/sysctl.conf  里面写: net.ipv4.ip_forward = 1

1.6 重新生成参数

sysctl -p

1
2.配置Web服务器主机名:web 以及IP地址 :192.168.2.10 并测试是否可以Ping网关
2
3.Web服务器环境搭建

3.1 安装httpd和mod_ssl软件包(Yum方式安装)

	 yum -y install httpd mod_ssl

3.2 启用并启动httpd服务

	systemctl enable httpd
	systemctl start httpd

3.3 创建网站首页

echo "Hello,World" >/var/www/html/index.html

3.4 更改默认的SSH端口号

	vim /etc/ssh/sshd_config
	
	Port 6682

3.5 关闭SElinux安全机制并重启sshd服务

setenforce 0

systemctl restart sshd

3

4.在Web服务器上启动并配置Firewalld防火墙

4.1 开启服务

	systemctl start firewalld

4.2 设置默认区域为DMZ

	firewall-cmd --set-default-zone=dmz

4.3 为DMZ区域打开https服务并添加tcp的6682端口然后移除防火墙原有的ssh规则

firewall-cmd --zone=dmz --add-service=https --permanent

firewall-cmd --zone=dmz --add-port=6682/tcp --permanent

firewall-cmd --zone=dmz --remove-service=ssh --permanent

4.4 开启禁止Ping

firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

4.5 重新加载firewalld ,并查看刚才的配置

firewall-cmd --reload

firewall-cmd --list-all --zone=dmz

4

5.在网关服务器上配置firewalld服务

5.1 开启

	systmctl start firewalld

5.2 设置默认区域为external

	firewall-cmd --set-default-zone=external

5.3 将eth1网卡配置到trusted区域,将eth2网卡加入到dmz区域

	firewall-cmd --change-interface=eth1 --zone=trusted
	
	firewall-cmd --change-interface=eth2 --zone=dmz

5.4 查看配置如下:

firewall-cmd --get-active-zones

5

5.5 内网客户机上使用https访问网站服务器https://192.168.2.10,可以访问成功,使用http则被拒绝

Connect Ok
7

6.更改firewalld-server网关服务器 的SSH端口,并重启服务

6.1 更改默认的SSH端口号

	vim /etc/ssh/sshd_config
	
	Port 6682

6.2 关闭SElinux安全机制并重启sshd服务

setenforce 0

systemctl restart sshd

6.3 配置external区域添加TCP的6682端口

firewall-cmd --zone=external --add-port=6682/tcp --permanent

6.4 配置external区域删除ssh服务

firewall-cmd --zone=external --remove-service=ssh --permanent

6.5 配置external区域禁止Ping

firewall-cmd --add-icmp-block=echo-request --zone=external --permanent

6.6 重新加载firewalld

firewall-cmd --reload

7.测试

7.1 在internal测试机上通过SSH登陆到网关外部接口地址的6682端口,登陆成功后还可以使用网关服务器登陆到Web服务器上面

ssh -p 6682 100.1.1.10
ssh -p 6682 192.168.2.10

Login OK
7.2 内网客户机可以通过SSH去登陆到Web服务器上

		ssh -p 6682 192.168.2.10

SSH connect OK

Then end…
QQ:269547342
博海先森~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Firewalld防火墙实例配置
ML908的博客
04-12 1433
文章目录环境拓扑需求描述一、环境配置二、防火墙配置1、在网站服务器上配置防火墙2、网关服务器配置防火墙3、企业内网访问外网web服务器4、外网web服务器访问企业内部网站服务器三、总结问题总结解决方案 环境拓扑 需求描述 1、 网关服务器连接互联网网卡ens33地址为100.1.1.10,为公网IP地址,分配到firewall的external区域;连接内网网卡ens36地址为192.168.1...
详述Linux中Firewalld高级配置的使用
09-14
主要介绍了详述Linux中Firewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【Linux】配置网络和firewall防火墙(超详细介绍+实战
默默发展,无声壮大~
05-09 6547
通常所说的网络防火墙指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或其他外部网络间互相隔离,限制网络互访,以此来保护内部网络。防火墙的分类方法多种多样,一般来说大致可分为三类,分别是“包过滤”、“应用代理”、“状态检查”。无论防火墙的功能多么强大,性能多么完善,归根结底都是在这三种技术的基础之上扩展功能的。
DMZ
weixin_30693683的博客
01-26 117
DMZ是非军事化区域,在计算机中指周边网络。通常概念上的说法是充许数据的流入和流出。这样就不需要对每个端口进行单独设置。DMZ域主要部署面向外部提供服务的服务程序。DMZ从功能上来说是一个小的隔离出来的位于因特网和私有网之间的网络。 举个不是太恰当的例子,路由器类似于某单位的电话交换机。每个分机都可以打出电话;但是如果别人想打进来,只知道总机号是不行的,不知道分机号就没办法转到特定的某部分机。通...
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6226
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld防火墙详细介绍
A1100886的博客
05-22 4325
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
Linux下双网卡Firewalld配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld配置流程,需要的朋友参考下吧
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
firewalld配置网关服务器
01-09
[root@ c7-41 ~] systemctl start firewalld.service 2,插入ip转发,并生效 [root@ c7-41 ~] vim /etc/sysctl.conf [root@ c7-41 ~] cat /etc/sysctl.conf |grep -v '^#' net.ipv4.ip_forward=1 [root@ c7-41 ~] ...
firewalld防火墙基本配置
qq_57258570的博客
11-16 3850
firewalld防火墙基本配置 1、firewalld的结构 与iptables一样,分为内核态和用户态,firewalld代替了iptables,是iptables的功能增强版。 比iptables增强的功能: 1.增强了对IPv6的支持 2.增加了9个基本安全区域,使基本配置更简单。 3.向下兼容iptables的语法。 4.支持图形化界面配置 2、firewalld数据处理流程 1.将数据包中的源IP地址,定义到指定的安全区域,先执行安全区域的规则。 2.如果源地址未...
DMZ隔离区详解
Iands。的博客
08-13 3146
DMZ隔离区 DMZ全称Demilitarized Zone,中文名称“隔离区”,也称“非军事化区”。(一个逻辑上的分区) 一、网络安全可以被划分为三个区域: 安全级别最高的LAN Area(内网) 安全级别中等的DMZ(隔离区) 安全级别最低的Internet(外网) 二、原理 (1)主要是将一些对外提供服务的服务器划分到一个特定的子网—DMZ区域 (2)在DMZ区域内的主机可以通信DMZ区域跟外部网络的主机,但是无法访问内网的主机 (3)在DMZ区域主机可以被内外网访问,同时内部网络又能避免被外部网
firewalld防火墙配置
BiQing11的博客
06-17 1707
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
firewall防火墙图形管理工具新手教程,虚拟机nmcil创建两块网卡以及创建网络会话教程实验!
SYH885的博客
10-28 738
图形管理工具 在各种版本的Linux系统中,几乎没有能让刘遄老师欣慰并推荐的图形化工具,但是firewall-config做到了。它是firewalld防火墙配置管理工具的GUI(图形用户界面)版本,几乎可以实现所有以命令行来执行的操作。 功能具体如下: 1:选择运行时(Runtime)模式或永久(Permanent)模式的配置。 2:可选的策略集合区域列表。 3:常用的系统服务列表。 4:当前正在使用的区域。 5:管理当前被选中区域中的服务。 6:管理当前被选中区域中的端口。 7:开启或关闭SNAT(源
Firewalld 防火墙配置
最新发布
来日可期的博客
12-12 1355
firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。
【Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 4912
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
Linux 防火墙配置(iptables和firewalld
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
堡垒机,DMZ区
lwbcsd的博客
12-03 2093
堡垒机 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能。 从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。 DMZ区 DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,
选用单防火墙DMZ还是双防火墙DMZ
04-03 996
你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些
linux firewalld防火墙配置
04-29
Linux firewalld 是一种防火墙管理器,它能够控制网络流量并保护系统免受恶意攻击。下面是一些常见的 firewalld 配置命令: 1. 启用 firewalld 服务: ``` systemctl start firewalld ``` 2. 设置 firewalld 服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值