📝理论讲解：

Liunx防火墙基础

防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合，也是不同安全域之间信息的唯一出口。通过监测、限制并更改跨越防火墙的数据流，尽可能地对外屏蔽网络内部地信息、结构和运行状态，且有选择地接受外部网络访问。再内外网之间架起一道屏障，以避免发生不可预知或潜在地入侵。从传统意义上来说防火墙技术分为三类：包过滤（Packet Filtering）、应用代理（APPlication Proxy）、状态检测（Stateful inspection）。无论一个防火墙地实现过程有多复杂，归根结底都是再者三种技术地基础上进行扩展的。

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实现过滤和限制，属于典型 的包过滤防火墙（或称为网络层防火墙）。Linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，也因此获得广泛的应用。再CentOS7体系中的几种防火墙共存：firewalld、IP tables、ebtables，默认使用firewalld来管理netfilter子系统。

●netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于"内核态"又称为内核空间的防火墙功能体系。

●firewalld：指用于管理Linux防火墙的命令程序，属于"用户态"又称为用户空间的防火墙管理体系。

firewalld概论

1.firewalld简介

firewalld的作用是为包过滤机制提供匹配规则（或称为策略），通过各种不同的规则，告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙，firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网，并且拥有两种配置模式：运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。

2.firewalld网络区域

firewalld将所有的网络数据流量划分为多个区域，从而简化防护墙管理。根据数据包的源IP地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检查就是其源地址。

●若源地址关联到特定的区域，则执行该区域所制定的规则。

●若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所制定的规则。

●若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则。

默认区域不是单独的区域，而是指向系统上定义的某个其他区域。默认情况下，默认区域是public，但是系统管理员可以更改默认区域。以上匹配规则，按照先后顺序，第一个匹配的规则胜出。

在每个区域中都可以配置其打开或者关闭的一系列服务器端口，firewalld的每个预定义的区域都设置了默认打开的服务。

📖实验配置与实现：

拓扑图：

推荐步骤：

●服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

●启动防火墙服务接口添加指定区域，Web 服务器启动防火墙服务接口添加指定区域

●配置客户端允许访问 DMZ 的网站服务器使用 http 协议，配置允许客户端使用 https 协议访问 external 区域网站，配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器，配置防火墙规则允许客户都安远程 ssh 登录 DMZ 区域的 Web 服务器并修改端口 2222

实验步骤：

一、 服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

1、配置 firewalld 防火墙服务器

1） 添加三块网卡分别连接三个区域

2）配置 ens2 网卡 IP 地址

3） 生成 DMZ 网卡和外网网卡

4）配置 DMZ 区域网卡 IP 地址

5）配置 external 区域网卡 IP 地址

2、配置 DMZ 区域的 web 服务器

1）修改网卡模式

2）修改 IP 地址

3）查看 IP 地址

4）删除系统源挂载系统到/mnt

5）安装 apache 服务器

6）设置网站主页

7）启动服务设置开机自动启动

3、配置 external 区域的 web 服务器

1）设置网卡模式

2）配置 IP 地址

3）查看 IP 地址

4）删除系统源挂载系统到/mnt

5）安装 apache 服务器和 https 模块

6）设置网站主页

7）启动服务设置开机自动启动

4、配置 Win10 客户端

1）修改 Win10 网卡模式

2）配置 IP 地址

3） 查看 IP 地址

二、启动防火墙服务接口添加指定区域，Web 服务器启动防火墙服务接口添加指定区域

1、配置防火墙服务器

1）启动防火墙服务器设置开机自动启动

2）查看防火墙服务运行状态

3）将接口加入指定的区域

4）设置默认区域

5）查看激活区域

6）开启路由功能

2、配置 DMZ 区域的 web 服务器防火墙

1）启动防火墙服务设置开机自动启动

2）查看防火墙服务运行状态

3）将接口加入指定的区域

4）设置默认区域

5）查看激活的区域

3、配置 external 区域的 web 服务器防火墙

1）启动防火墙服务器设置开机自动启动

2）查看防火墙服务运行状态

3）接口加入到防火墙区域

4）设置防火墙默认区域

5）查看激活的防火墙区域

三、配置客户端允许访问 DMZ 的网站服务器使用 http 协议，配置允许客户端使用 https 协议访问 external 区域的网站，配 置防火墙规则阻止客户端 ping 通 external 区域的网站服务器，配置防火墙规则允许客户都安远程 ssh 登录 DMZ 区域的 Web 服务器并修改端口 2222

1、配置客户端允许访问 DMZ 的网站服务器使用 http 协议

1）添加防火墙规则允许 http 协议通信

2） 查看防火墙规则

3）客户端访问 web 服务器验证

2、配置客户端允许访问 external 区域的网站服务器https 协议

1）添加防火墙规则允许客户端访问 external 区域的网站服务器使用 https 协议

2）查看防火墙区域规则

3） 客户端访问验证

3、配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器

1）配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器

2）查看配置防火墙规则

3）客户端 ping 目录网站服务器验证

4、配置允许客户都安使用 ssh 远程访问 DMZ 区域中的 web服务器，ssh 端口号为 2222

1）配置修改 ssh 服务器端口号

2）重启 ssh 服务查看服务运行状态

3）配置客户端允许 ssh 修改端口号

4）查看防火墙规则

5）客户端验证