企业内网防火墙搭建实验

在一些企业中经常会搭建一些如下图所示的网络架构，在企业内部不仅可以正常访问内部网络，也可以正常访问外网。此外外网客户端也可以正常访问企业内部的web服务器。运维人员通常会通过额外端口号远程ssh连接web服务器进行日常维护。下图则是本次实验环境的网络拓扑图。

实验环境准备

一台内网客户端IP地址：192.168.20.20/24
一台防火墙作为内网、外网和web的网关。IP地址分别为：192.168.20.2/24、192.168.159.2/24、192.168.133.2/24.
一台内网web服务器IP地址为：192.168.133.100/24。
一台外网客户端IP地址为：192.168.159.100/24.

web端的防火墙规则

首先在web端需要做一下规则。
1.将web的端口放入到dmz区域。
2.移除防火墙dmz区域的ssh服务。
3.防火墙过滤http请求，方通https请求。

1.将web的ens33端口放入到dmz区域。
firewall-cmd --set-default-zone=dmz

2.移除防火墙dmz区域的ssh服务。防火墙过滤http请求，方通https请求。
firewall-cmd --zone=dmz --remove-service=ssh --permanent
firewall-cmd --zone=dmz --add-service=https --permanent

3.重载防火墙策略。
firewall-cmd --reload

4.查看修改后的策略
[root@web ~]# firewall-cmd --zone=dmz --list-all
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: https
  ports: 12345/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

在web端的dmz区域添加禁止ping防火墙规则。

firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

修改web端的ssh端口。

企业防火墙配置规则

首先需要开启防火墙的路由功能。

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

将ens33、ens36和ens37分别配置到防火墙的trusted、dmz和external区域。

将防火墙的默认区域设置为external区域。
firewall-cmd --set-default-zone=external

firewall-cmd --change-interface=ens33 --zone=trusted --permanent
firewall-cmd --change-interface=ens36 --zone=dmz --permanent

已经可以远程12345端口连接web端了。

external区域做端口转发

防火墙需要将外部的443端口的请求发送到内网的web端进行处理。

firewall-cmd --add-forward-port=port=443:proto=tcp:toaddr=192.168.133.100 --permanent
来访请求的端口和协议，需要转发到的端口和IP地址。

 firewall-cmd --reload
重载防火墙

external区域禁止ssh连接请求。

firewall-cmd --zone=external --remove-service=ssh --permanent
firewall-cmd --reload

防火墙的地址伪装

将内网的客户端IP地址映射成公网地址，类似于easy ip。

firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.20.0/24 masquerade'

这样企业防火墙配置就完成了。