信创服务器操作系统的配置与管理（openEuler版） 课件 项目13 部署openEuler服务器防火墙

项目13部署openEuler服务器防火墙项目描述项目分析相关知识项目实施练习与实践目录学习目标(1)了解openEuler服务器担任网关/路由角色的应用场景。(2)掌握数据流量过滤型防火墙的工作原理与配置。(3)了解企业生产环境下部署openEuler防火墙的基本规范。项目描述项目描述Jan16公司最近上线一台openEuler操作系统的服务器，规划将这台服务器作为公司网络入口的路由器角色。路由器作为内外部网交汇点，容易遭受到外网甚至是内网的攻击，造成网络瘫痪、业务停摆等后果，因此，Jan16公司规划在服务器上部署路由服务为公司内外网联通提供基础，同时启用防火墙防护功能对内外网的流量进行过滤，按需开放访问，提高公司网络的安全性。根据调研，目前公司网络访问需求主要有如下几点：（1）公司向运营商申请了1个公网IP地址为01/28，公司内部网络可以通过路由器的NAT服务，将私有地址转换为公网地址后访问外部网络。（2）公司内部设置DMZ非军事化区用于管理公司对外业务的服务器（如Web服务器），内部网络可以访问DMZ区域。项目描述（3）外部网络的客户端仅允许访问DMZ区开放的端口，不能访问内网中的其它主机。Jan16公司的网络拓扑如图13-1所示。图13-1Jan16公司的网络拓扑项目分析项目分析根据公司网络访问需求和网络拓扑结构，运维工程师需要在Router服务器上配置防火墙规则，用于对于内网与外网之间数据流量进行过滤和控制数据流量的转发。具体可分解为以下工作任务：（1）实现公司内网的正常联通。（2）在Router服务器ens33接口的出方向实现内网的流量进行NAT地址转换。（3）在Router服务器ens33接口的入方向实现丢弃外网服务器对内网发送的SSH和ICMP流量。（4）仅允许IP地址为02/24的运维部PC通过SSH访问Router服务器。（5）在Router服务器上划分DMZ区域，并在该区域中设置放通Web服务器端口流量的防火墙规则。（6）禁止内网客户端与Web服务器的ICMP通信。项目分析为了项目顺利实施，网络管理员规划了设备配置信息表（见表13-1）和服务器接口对应区域规划信息表（见表13-2）的内容。表13-1设备配置信息表设备名角色主机名接口IP地址网关地址JX3270路由器Routerens3301/28

ens3754/24

ens3854/24

JX3271Web服务器WebServerens3301/2454JX5361内网PC1OfficePC1ens3301/2454JX5362运维部PCManagePCens3302/2454PS3320外网Web服务器PubServerens3302/28

PC5360外网客户端PubClientens3303/28

项目分析表13-2服务器接口对应区域规划综上，在本项目中主要有如下几点任务：（1）配置NAT地址转换，实现公司内外网联通。（2）配置防火墙规则，实现对内网与外网之间的数据流量访问控制。设备名主机名接口划分区域区域用途JX3270Routerens33external外部区域ens37dmzDMZ区域ens38trusted受信区域相关知识13.1防火墙的类型按照功能逻辑分类，防火墙可以分为主机防火墙和网络防护墙。主机防火墙：针对本地主机接收或发送的数据包进行过滤。（操作对象为个体）网络防火墙：处于网络边缘，针对网络入口的数据包进行转发和过滤。（操作对象为整体）按照物理形式分类，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙：专有的硬件防火墙设备，如华为硬件防火墙，功能强大，性能高，但是成本较高。软件防火墙：通过系统软件实现防火墙的功能，如Linux内核集成的数据包处理模块实现防火墙功能，定制自由度高，性能受服务器硬件和系统影响，部署成本低。13.2NetfilterNetfilter是Linux内核中的一个软件框架，用于管理网络数据包。它不仅具有网络地址转换（NAT）的功能，也具备数据包内容修改及数据包过滤等防火墙功能。利用运作于用户空间的应用软件（如iptables、ebtables和arptables等）来控制Netfilter，运维工程师就可以管理通过openEuler操作系统的各种网络数据包。13.3iptables这里指iptables及其家族(iptables,ip6tables,arptables,ebtables,和ipset),即运行于用户空间来操作Netfilter的软件。13.4FirewalldFirewalld位于前端，iptables或nftables运行在后端；iptables或nftables操作Netfilter。老版本的firewalld使用iptables作为后端，而新版本的firewalld使用nftables作为后端。当前Firewalld通过nft程序直接与nftables交互，在将来的发行版中，将通过使用新创建的libnftable进一步改善与nftables的交互。Firewalld工作流程框架如图13-2所示。图13-2Firewalld的工作流程框架13.4FirewalldFirewalld将网卡对应到不同的区域（zone）,内置区域默认共有9个，每个区域都有自己的一套规则，默认情况下所有网络都在public区域中。对区域的匹配规则顺序为：源地址->源接口->默认区域。即每个数据包通过防火墙时都会检查源地址，根据源地址匹配的区域规则进行处理，若源地址没有关联的区域，则检查数据包所在的源接口，根据源接口匹配的区域规则进行处理，若源地址也没有关联的区域，则使用系统配置的默认区域规则进行处理。用户可以根据需要在区域中添加源地址或者接口，如：将在internal中添加内网使用的/24地址段，在external区域中添加连接公网的接口。13.4FirewalldFirewalld默认的区域及配置如表13-3所示。区域默认配置预定义服务trusted允许所有进站通信

home拒绝除与出站有关的通信或预定义服务以外的所有进站通信dhcpv6-client,mdns,samba-client,sshinternal拒绝除与出站有关的通信或预定义服务以外的所有进站通信dhcpv6-client,mdns,samba-client,sshwork拒绝除与出站有关的通信或预定义服务以外的所有进站通信dhcpv6-client,mdns,sshpublic默认区域，拒绝除与出站有关的通信或预定义服务以外的所有进站通信dhcpv6-client,mdns,sshexternal拒绝除与出站有关的通信或预定义服务以外的所有进站通信，穿过该区域的IPv4出站通信将出站源伪装为出站网络接口地址sshdmz拒绝除与出站有关的通信或预定义服务以外的所有进站通信sshblock拒绝除与出站有关的通信以外的所有进站通信

drop丢弃除与出站有关的通信以外的所有进站通信(包括ICMP错误信息)

13.5Firewall-cmd防火墙Firwalld的管理工具有多种，包括： 使用firewall-config图形工具。 使用firewall-cmd命令行工具。

Firewalld配置文件。使用firewall-cmd命令行工具对防火墙进行管理，需要了解该命令的语法格式及解析。表13-4列举了firewall-cmd命令行工具常用的参数及解析。13.5Firewall-cmd参数解析--add-interface=inter[--zone=zone]将源自指定接口的通信路由至指定区域，若未指定，则为默认区域--change-interface=inter[--zone=zone]设定接口与指定区域关联(代替原关联)，若未指定区域，则为默认区域--list-all[--zone=zone]列出指定区域配置的接口，源，服务及端口，若未指定，则列出默认区域--add-service=service[--zone=zone]允许指定服务的通信，若不指定区域，则为默认区域--add-port=port/protocol[--zone=zone]允许指定端口/服务的通信，若不指定区域，则为默认区域--remove-service=service[--zone=zone]移除规则--remove-port=port/protocol[--zone=zone]移除规则--permanent永久生效--reload重新加载表13-4firewall-cmd命令行工具常用的参数及解析项目实施任务13-1配置NAT地址转换任务13-1配置NAT地址转换任务规划根据规划，运维工程师需要在Router服务器上配置防火墙，利用NAT地址转换技术来实现内网客户端能与外部网络正常通信。本任务步骤涉及如下内容：（1）启用openEuler服务器的防火墙服务。（2）划分服务器接口到对应的防火墙区域。（3）配置NAT地址转换。（4）重载防火墙配置。任务13-1配置NAT地址转换任务实施1.启用服务器上的防火墙服务由于服务器初始化时已经将防火墙服务关闭，并且设置为默认不开机启动，因此，需要启用防火墙服务并设置为默认开机启动。配置命令如下：[root@Router~]#systemctlstartfirewalld[root@Router~]#systemctlenablefirewalld任务13-1配置NAT地址转换2.划分服务器接口到对应的防火墙区域在默认情况下，服务器所有网络接口都划分为public区域，因此根据规划，需要使用“firewall-cmd”命令将Router服务器的3个接口划分到防火墙对应的区域中，配置命令如下：[root@Router~]#firewall-cmd--change-interface=ens33--zone=external--permanent[root@Router~]#firewall-cmd--change-interface=ens37--zone=dmz--permanent[root@Router~]#firewall-cmd--change-interface=ens38--zone=trusted--permanent任务13-1配置NAT地址转换3.配置NAT地址转换。（1）关闭防火墙external区域默认的IP地址伪装功能，配置命令如下：（2）设置防火墙仅转换【/24】网段的地址共享单一的公网IP地址访问外部网络，配置命令如下：[root@Router~]#firewall-cmd--zone=external--remove-masquerade[root@Router~]#firewall-cmd--zone=external--add-rich-rule='rulefamily=ipv4sourceaddress=/24masquerade'--permanent任务13-1配置NAT地址转换4.重载防火墙配置。由于在配置时使用了【--permanent】选项，防火墙的配置不会立即生效，因此，在配置完成后应重新载入防火墙的配置，配置命令如下：[root@Router~]#firewall-cmd--reload任务13-1配置NAT地址转换任务验证（1）在内网PC1设备上通过“ping”命令测试内网PC1与内网Web服务器的通信，结果应为ICMP报文正常应答，验证命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.64bytesfrom01:icmp_seq=1ttl=63time=0.777ms64bytesfrom01:icmp_seq=2ttl=63time=1.23ms64bytesfrom01:icmp_seq=3ttl=63time=1.45ms

---01pingstatistics---3packetstransmitted,3received,0%packetloss,time18msrttmin/avg/max/mdev=0.777/1.151/1.445/0.278ms任务13-1配置NAT地址转换（2）在内网PC1上使用【ping-c301】命令测试内网与外部网络之间的连接通信，结果应为ICMP报文正常应答，验证命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.64bytesfrom01:icmp_seq=1ttl=64time=0.298ms64bytesfrom01:icmp_seq=2ttl=64time=2.24ms64bytesfrom01:icmp_seq=3ttl=64time=0.478ms

---01pingstatistics---3packetstransmitted,3received,0%packetloss,time36msrttmin/avg/max/mdev=0.298/1.004/2.237/0.875ms任务13-2配置防火墙规则任务13-2配置防火墙规则任务规划在配置完成NAT地址转换后，局域网内的客户端即可访问外部网络了，接下来，运维工程师需要局域网内的访问限制要求配置防火墙规则。本任务需要完成如下几点：（1）配置external区域规则，禁止外网的IMCP和SSH流量；（2）配置dmz区域规则，允许对Web服务器内的http服务访问，禁止对其他服务的访问请求并禁止ICMP流量。任务13-2配置防火墙规则任务实施1.配置external区域规则（1）通过“firewall-cmd”命令设置防火墙规则为：禁止从外网进入的ICMP通信流量，配置命令如下：[root@Router~]#firewall-cmd--zone=external--add-icmp-block=echo-request--permanent任务13-2配置防火墙规则（2）通过“firewall-cmd”命令设置防火墙规则为：禁止从外网进入的SSH流量，配置命令如下：（3）通过“firewall-cmd”命令在external区域添加端口转发规则，将外部访问防火墙80端口的请求转发到Web服务器（01）进行处理，配置命令如下：[root@Router~]#firewall-cmd--zone=external--remove-service=ssh--permanent[root@Router~]#firewall-cmd--zone=external--add-forward-port=port=80:proto=tcp:toaddr=01任务13-2配置防火墙规则2.配置dmz区域规则（1）通过“firewall-cmd”命令设置允许Web服务器内http服务的访问，配置命令如下：（2）通过“firewall-cmd”命令设置dmz区域禁止ICMP通信，配置命令如下：（3）通过“firewall-cmd”命令设置dmz区域禁止其它访问请求，配置命令如下：[root@Router~]#firewall-cmd--zone=dmz--add-service=http--permanent[root@Router~]#firewall-cmd--zone=dmz--add-icmp-block=echo-request--permanent[root@Router~]#firewall-cmd--zone=dmz--set-target=REJECT--permanent任务13-2配置防火墙规则任务验证（1）在内网PC1上运行“curl01”命令能成功访问WebServer的http服务，验证命令如下。[root@OfficePC1~]#curl01TheInternalWebSite任务13-2配置防火墙规则任务验证（2）在内网PC1上通过“ping”命令来测试内网PC1与内网Web服务器之间的通信，将显示无法Ping通，验证命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.From01icmp_seq=1PacketfilteredFrom01icmp_seq=2PacketfilteredFrom01icmp_seq=3Packetfiltered

---01pingstatistics---packetstransmitted,0received,+3errors,100%packetloss,time7ms任务13-2配置防火墙规则（3）外网客户端PubClient访问Router服务器的http流量被转发到WebServer服务器，验证命令如下。[root@PubClient~]#curl01TheInternalWebSite任务13-3配置防火墙富规则任务13-3配置防火墙富规则任务规划在配置完成NAT地址转换后，局域网内的客户端即可访问外部网络了，接下来，运维工程师需要局域网内的访问限制要求配置防火墙富规则。本任务需要完成如下几点：（1）配置trusted区域规则，仅允许源地址为【02/24】的主机进行SSH远程登录Router。（2）配置dmz区域规则，禁止源地址为【01/24】的主机进行SSH远程登录Router，禁止源地址为【01/24】的主机流量到达Router。任务13-3配置防火墙富规则任务实施1. 配置trusted区域规则(1) 通过“firewall-cmd”命令设置trusted区域仅允许源地址为【02】的主机进行SSH远程登录，配置命令如下：(2) 通过“firewall-cmd”命令移除开放的ssh服务，表示禁止所有其它SSH远程登录访问，配置命令如下：[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="02"destinationaddress="54"servicename="ssh"accept"--permanent[root@Router~]#firewall-cmd--zone=trusted--remove-service=ssh--permanent任务13-3配置防火墙富规则2. 配置dmz区域规则(1) 禁止源地址为【01/24】的主机进行SSH远程登录Router，配置命令如下：(2) 通过“firewall-cmd”命令禁止源地址为【01/24】的主机流量到达Router，配置命令如下：[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"servicename="ssh"accept"--permanent[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"protocolvalue="icmp"accept"--permanent任务13-3配置防火墙富规则3. 重启firewall服务(1) 通过“firewall-cmd”命令重新加载，配置命令如下：(2) 通过“systemctl”命令重启防火墙服务，配置命令如下：[root@Router~]#firewall-cmd--reload[root@Router~]#systemctlrestartfirewall任务13-3配置防火墙富规则任务验证（1）在运维部PC上运行“ssh54”命令可以远程登录访问Router服务器，而在内网其它客户端无法远程SSH登录，验证命令如下。[root@OfficePC1~]#ssh54ssh:connecttohost54port22:Noroutetohost[root@ManagePC~]#ssh54root@54'spassword:Lastlogin:TueMar1711:06:482022from02任务13-3配置防火墙富规则（2）在内网Web服务器上运行“ssh54”命令无法远程SSH登录，将防火墙命令取消后可以远程登录。验证命令如下。[root@WebServer~]#ssh54ssh:connecttohost54port22:Noroutetohost

[root@Router~]#firewall-cmd--zone=trusted--remove-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"servicename="ssh"accept"–permanent[root@Router~]#firewall-cmd--reload

[root@WebServer~]#ssh54root@54'spassword:Lastlogin:FriJan317:06:482023from54任务13-3配置防火墙富规则（3）在内网Web服务器上运行“ping54”命令无法联通Router，验证命令如下。[root@WebServer~]#ping54PING54(54)56(84)bytesofdata.From54icmp_seq=1DestinationPortUnreachableFrom54icmp_seq=2DestinationPortUnreachableFrom01icmp_seq=3DestinationPortUnreachableFrom01icmp_seq=4DestinationPortUnreachable

---54pingstatistics---4packetstransmitted,0received,+4errors,100%packetloss,time2003ms

[root@Router~]#firewall-cmd--zone=trusted--remove-rich-rule="rulefamily="ipv4"sourceaddress="01"destinat