实验环境
如图2.11所示,企业网络中,网关服务器和网站服务器采用Linux CentOS 7.3操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。
◆实验需求
➢网关服务器连接互联网网卡ens33地址为100.1.1.10. 为公网IP 地址,分配到firewall的external (外部)区域;连接内网网卡ens37地址为192.168.1.1.分配到firewall的trusted(信任)区域:连接服务器网卡ens38地址为192.168.2.1. 分配到firewall的dmz (非军事)区域。
➢网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345。
➢网站服务 器开启https,过滤未加密的http流量。
➢网站服务器拒绝ping.
1.基本环境配置
(1) 在网关服务器.上配置主机名及网卡地址。
企业内网测试机
ping 192.168.1.1
ping 192.168.2.1
ping 100.1.1.10 能通
ping 192.168.2.10 不能通
网站服务器
ping 192.168.1.1
ping 192.168.2.1
ping 100.1.1.10 能通
ping 192.168.1.10 不能通
lnternet测试用机
ping 100.1.1.10 能通
ping 192.168.1.10
ping 192.168.1.20 不能通
(2) 开启网关服务器的路由转发功能。
企业内网测试机
ping 192.168.2.10 能通
网站服务器
ping 192.168.1.10 能通
lnternet测试用机
ping 192.168.1.10
ping 192.168.1.20 不能通
(3) 配置web服务器主机名及网卡地址。
2.网站服务器环境搭建
(1) 安装httpd和mod_ ssI软件包。
(2)启用并启动httpd服务。
(3) 创建网站首页测试页index . html。
用自己的浏览器测试一下
(4) 更改SSH的侦听地址,并重启sshd服务,需要注意的是这里需要将SELinux关闭。
**用企业内网测试机 ** 验证 ssh -p 12345 192.168.2.10 (查看IP)
3.在网站服务器上启动并配置firewalld防火墙
(1) 在网站服务器上启动firewalld 防火墙并将默认区域设置为dmz区域。firewalld在系统安装后默认处于启动状态,如果不确定机器.上的firewalld 是否启动,可使用systemctl status firewalld 或firewall-cmd – -state命令查看其运行状态。
设置默认区域为dmz区域
(2)为dmz区域打开https服务及添加TCP的12345端口
(3)禁止ping。
(4)因为预定义的SSH服务已经更改默认端口,所以将预定义SSH服务移除。
(5)重新加载Firewalld激活配置,并查看刚才的配置。
验证 企业内网测试机能访问https ,不能访问http
所有测试机都不能ping 192.168.2.10
4.在网关服务器上配置firewalld防火墙
(1) 验证firewalld在网关服务器上启动并且正在运行。
(2) 设置默认区域为external区域,并查看配置结果。
(3) 将ens36网卡配置到trusted区域,将ens37配置到dmz区域。
(4) 查看配置情况如下。
(5)在企业内网测试机上访问网站服务器,可以成功访问,
(6) 更改SSH的侦听端口,并重启服务(需关闭SELinux).
(7) 配置external区域添加TCP的12345端口。
(8)配置external区域移除SSH服务。
(9) 配置external区域禁止ping。
(10) 重新加载防火墙激活配置。
(11) 在互联网测试计算机上通过SSH登录网关外部接口地址的12345端口,成功。
(12) 在企业内网测试计算机上SSH登录web网站服务器的12345端口,成功。
在lnternet测试用机上安装http服务,在企业内网测试机上验证