Linux--防火墙，实验案例：基于区域、服务、端口的访问控制

实验环境

       某公司的Web服务器，网关服务器均采用Linux CentOS 7.3操作系统，如图2.13所示。为了 加强网络访问的安全性，要求管理员熟悉firewalld防火墙规则的编写，以便制定有效、可行的主机防护策略。

需求描述

> 网关服务器ens36网卡分配到external（外部）区域，ens37网卡分配到trusted（信任）区域，ens38网卡分配到dmz（非军事）区域。

> 网站服务器和网关服务器将SSH默认端口都改为12345。

> 网站服务器开启https，过滤未加密的 http 流量，且拒绝ping。

推荐步骤

①基本环境配置。

（1）为网关服务器与网站服务器配置主机名及网卡地址，并更改SSH的侦听地址。

（2）开启网关服务器的路由转发功能。

②在网站服务器上部署Web站点。

③为网站服务器与网关服务器编写firewalld规则。

④ 实验结果验证。

*实验外内容（永久关闭防火墙）

[root@node01 ~]# systemctl stop firewalld.service     //暂时关闭防火墙  
[root@node01 ~]# systemctl disable firewalld.service  //永久关闭，即开机不会自动启动
[root@node01 ~]# vim /etc/sysconfig/selinux           //和上一步共用才能永久关闭防火墙

SELINUX=disabled                                      //将原来的enforcing改为disabled

1.基本环境配置

（1）在网关服务器上配置主机名及网卡地址。

[root@node01 ~]# hostname gateway-server

[root@node01 ~]# vim /etc/hostname

gateway-server

[root@gateway-server ~]# ifconfig

（2）开启网关服务器的路由转发功能。

[root@gateway-server ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@gateway-server ~]# sysctl -p