firewalld防火墙

今天在网关服务器上配置firewalld防火墙 先来简单了解一下
1、防火墙的作用和特点
1】防火墙的作用：增强安全性 对传输的数据包进行检查
2】防火墙的特点：工作在网络层对数据包进行过滤 防火墙内访问外策略宽松 防火墙外访问内策略严格

2、防火墙类型
1】硬件防火强 稳定性强 可靠性强 处理数据速度快 ASA，华为防火墙，深信服防火墙
2】软件防火墙 稳定性差 处理数据速度慢 firewalld iptables TNG ISA

3、防火墙功能类型
1】应用代理防火墙 对应用层程序进行监控 限制应用程序访问数据或者网络
2】网络防火墙 对传输的数据包进行过滤 iptables firewalld都属于网络防火墙
3】状态化防火墙 硬件防火墙都属于状态防火墙 根据conn表转发数据

4、防火墙内核和防火墙管理工具
1】防火墙内核 netfilter属于linux的防火墙内核 决定系统是否支持防火墙
2】firewalld 提供的是管理防火墙的内核程序

5、firewalld数据处理流程和常见区域
1】firewalld处理流程
源地址所在接口区域配置防火墙规则 执行接口所在区域防火墙规则
源地址所在接口没有关联区域中 执行进入防火墙接口区域的规则
接口没有关联到区域中 执行默认区域中的规则 firewalld默认区域是public区域
2】firewalld常见的区域
trusted：允许所有数据进出 一般内部网络使用
home：拒绝流量进入 允许流量出 允许ssh ipp-client smba-client dhcp服务进入
internel：功能和home一样
work：拒绝流量进入允许流量出
public：拒绝流量进入 允许流量出 ssh dhcp流量进入
external：拒绝流量进入 允许流量出和ssh服务 一般企业外网使用
dmz：非军事化区域 拒绝流量进入 允许ssh服务进入
block：拒绝流量进入 允许流量出
drop：拒绝任何流量

6、firewalld工具类型
1】firewalld-cmd 命令行工具 配置简单灵活
2】firewalld-config 图形化配置防火墙使用 配置简单

7、防火墙的网络类型
1】双向外围网络 防火墙只有两个区域 一个内网一个外网
2】三向外围网络 防火墙有三个区域 一个内网 一个外网 一个dmz
3】背靠背网络 两台防火墙中间是服务

首先配置网关服务器增加网卡

这里我们简单修改一下IP 内网为100网段 外网为10网段 adm为20网段
配置外网主机网卡配置文件
配置网站服务器网卡配置文件
网关服务器开启路由功能

[root@centos02 ~]# vim /etc/sysctl.conf 
[root@centos02 ~]# sysctl -p
net.ipv4.ip_forward = 1

然后
测试全网ping通

然后再网关服务器上将接口加入到指定区域 跟以上要求网卡有所不同 注意区分

[root@centos02 ~]# systemctl start firewalld.service 
[root@centos02 ~]# firewall-cmd --zone=trusted --add-interface=ens33
The interface is under control of NetworkManager, setting zone to 'trusted'.
success
[root@centos02 ~]# firewall-cmd --zone=external --add-interface=ens37
The interface is under control of NetworkManager, setting zone to 'external'.
success
[root@centos02 ~]# firewall-cmd --zone=dmz --add-interface=ens38
The interface is under control of NetworkManager, setting zone to 'dmz'.
success

更改网站服务器和网关服务器的ssh端口为12345

web服务器

网站服务器安装apache
在web服务器和网关服务器写规则

[root@centos02 ~]# firewall-cmd --zone=dmz --add-service=https  允许https进入
[root@centos02 ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request 不允许ping通
success

验证ping网关服务器ping不通