信創(chuàng)服務(wù)器操作系統(tǒng)的配置與管理（openEuler版） 課件 項目13 部署openEuler服務(wù)器防火墻

項目13部署openEuler服務(wù)器防火墻項目描述項目分析相關(guān)知識項目實施練習(xí)與實踐目錄學(xué)習(xí)目標(biāo)(1)了解openEuler服務(wù)器擔(dān)任網(wǎng)關(guān)/路由角色的應(yīng)用場景。(2)掌握數(shù)據(jù)流量過濾型防火墻的工作原理與配置。(3)了解企業(yè)生產(chǎn)環(huán)境下部署openEuler防火墻的基本規(guī)范。項目描述項目描述Jan16公司最近上線一臺openEuler操作系統(tǒng)的服務(wù)器，規(guī)劃將這臺服務(wù)器作為公司網(wǎng)絡(luò)入口的路由器角色。路由器作為內(nèi)外部網(wǎng)交匯點，容易遭受到外網(wǎng)甚至是內(nèi)網(wǎng)的攻擊，造成網(wǎng)絡(luò)癱瘓、業(yè)務(wù)停擺等后果，因此，Jan16公司規(guī)劃在服務(wù)器上部署路由服務(wù)為公司內(nèi)外網(wǎng)聯(lián)通提供基礎(chǔ)，同時啟用防火墻防護功能對內(nèi)外網(wǎng)的流量進行過濾，按需開放訪問，提高公司網(wǎng)絡(luò)的安全性。根據(jù)調(diào)研，目前公司網(wǎng)絡(luò)訪問需求主要有如下幾點：（1）公司向運營商申請了1個公網(wǎng)IP地址為01/28，公司內(nèi)部網(wǎng)絡(luò)可以通過路由器的NAT服務(wù)，將私有地址轉(zhuǎn)換為公網(wǎng)地址后訪問外部網(wǎng)絡(luò)。（2）公司內(nèi)部設(shè)置DMZ非軍事化區(qū)用于管理公司對外業(yè)務(wù)的服務(wù)器（如Web服務(wù)器），內(nèi)部網(wǎng)絡(luò)可以訪問DMZ區(qū)域。項目描述（3）外部網(wǎng)絡(luò)的客戶端僅允許訪問DMZ區(qū)開放的端口，不能訪問內(nèi)網(wǎng)中的其它主機。Jan16公司的網(wǎng)絡(luò)拓?fù)淙鐖D13-1所示。圖13-1Jan16公司的網(wǎng)絡(luò)拓?fù)漤椖糠治鲰椖糠治龈鶕?jù)公司網(wǎng)絡(luò)訪問需求和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，運維工程師需要在Router服務(wù)器上配置防火墻規(guī)則，用于對于內(nèi)網(wǎng)與外網(wǎng)之間數(shù)據(jù)流量進行過濾和控制數(shù)據(jù)流量的轉(zhuǎn)發(fā)。具體可分解為以下工作任務(wù)：（1）實現(xiàn)公司內(nèi)網(wǎng)的正常聯(lián)通。（2）在Router服務(wù)器ens33接口的出方向?qū)崿F(xiàn)內(nèi)網(wǎng)的流量進行NAT地址轉(zhuǎn)換。（3）在Router服務(wù)器ens33接口的入方向?qū)崿F(xiàn)丟棄外網(wǎng)服務(wù)器對內(nèi)網(wǎng)發(fā)送的SSH和ICMP流量。（4）僅允許IP地址為02/24的運維部PC通過SSH訪問Router服務(wù)器。（5）在Router服務(wù)器上劃分DMZ區(qū)域，并在該區(qū)域中設(shè)置放通Web服務(wù)器端口流量的防火墻規(guī)則。（6）禁止內(nèi)網(wǎng)客戶端與Web服務(wù)器的ICMP通信。項目分析為了項目順利實施，網(wǎng)絡(luò)管理員規(guī)劃了設(shè)備配置信息表（見表13-1）和服務(wù)器接口對應(yīng)區(qū)域規(guī)劃信息表（見表13-2）的內(nèi)容。表13-1設(shè)備配置信息表設(shè)備名角色主機名接口IP地址網(wǎng)關(guān)地址JX3270路由器Routerens3301/28

ens3754/24

ens3854/24

JX3271Web服務(wù)器WebServerens3301/2454JX5361內(nèi)網(wǎng)PC1OfficePC1ens3301/2454JX5362運維部PCManagePCens3302/2454PS3320外網(wǎng)Web服務(wù)器PubServerens3302/28

PC5360外網(wǎng)客戶端PubClientens3303/28

項目分析表13-2服務(wù)器接口對應(yīng)區(qū)域規(guī)劃綜上，在本項目中主要有如下幾點任務(wù)：（1）配置NAT地址轉(zhuǎn)換，實現(xiàn)公司內(nèi)外網(wǎng)聯(lián)通。（2）配置防火墻規(guī)則，實現(xiàn)對內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)流量訪問控制。設(shè)備名主機名接口劃分區(qū)域區(qū)域用途JX3270Routerens33external外部區(qū)域ens37dmzDMZ區(qū)域ens38trusted受信區(qū)域相關(guān)知識13.1防火墻的類型按照功能邏輯分類，防火墻可以分為主機防火墻和網(wǎng)絡(luò)防護墻。主機防火墻：針對本地主機接收或發(fā)送的數(shù)據(jù)包進行過濾。（操作對象為個體）網(wǎng)絡(luò)防火墻：處于網(wǎng)絡(luò)邊緣，針對網(wǎng)絡(luò)入口的數(shù)據(jù)包進行轉(zhuǎn)發(fā)和過濾。（操作對象為整體）按照物理形式分類，防火墻可以分為硬件防火墻和軟件防火墻。硬件防火墻：專有的硬件防火墻設(shè)備，如華為硬件防火墻，功能強大，性能高，但是成本較高。軟件防火墻：通過系統(tǒng)軟件實現(xiàn)防火墻的功能，如Linux內(nèi)核集成的數(shù)據(jù)包處理模塊實現(xiàn)防火墻功能，定制自由度高，性能受服務(wù)器硬件和系統(tǒng)影響，部署成本低。13.2NetfilterNetfilter是Linux內(nèi)核中的一個軟件框架，用于管理網(wǎng)絡(luò)數(shù)據(jù)包。它不僅具有網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，也具備數(shù)據(jù)包內(nèi)容修改及數(shù)據(jù)包過濾等防火墻功能。利用運作于用戶空間的應(yīng)用軟件（如iptables、ebtables和arptables等）來控制Netfilter，運維工程師就可以管理通過openEuler操作系統(tǒng)的各種網(wǎng)絡(luò)數(shù)據(jù)包。13.3iptables這里指iptables及其家族(iptables,ip6tables,arptables,ebtables,和ipset),即運行于用戶空間來操作Netfilter的軟件。13.4FirewalldFirewalld位于前端，iptables或nftables運行在后端；iptables或nftables操作Netfilter。老版本的firewalld使用iptables作為后端，而新版本的firewalld使用nftables作為后端。當(dāng)前Firewalld通過nft程序直接與nftables交互，在將來的發(fā)行版中，將通過使用新創(chuàng)建的libnftable進一步改善與nftables的交互。Firewalld工作流程框架如圖13-2所示。圖13-2Firewalld的工作流程框架13.4FirewalldFirewalld將網(wǎng)卡對應(yīng)到不同的區(qū)域（zone）,內(nèi)置區(qū)域默認(rèn)共有9個，每個區(qū)域都有自己的一套規(guī)則，默認(rèn)情況下所有網(wǎng)絡(luò)都在public區(qū)域中。對區(qū)域的匹配規(guī)則順序為：源地址->源接口->默認(rèn)區(qū)域。即每個數(shù)據(jù)包通過防火墻時都會檢查源地址，根據(jù)源地址匹配的區(qū)域規(guī)則進行處理，若源地址沒有關(guān)聯(lián)的區(qū)域，則檢查數(shù)據(jù)包所在的源接口，根據(jù)源接口匹配的區(qū)域規(guī)則進行處理，若源地址也沒有關(guān)聯(lián)的區(qū)域，則使用系統(tǒng)配置的默認(rèn)區(qū)域規(guī)則進行處理。用戶可以根據(jù)需要在區(qū)域中添加源地址或者接口，如：將在internal中添加內(nèi)網(wǎng)使用的/24地址段，在external區(qū)域中添加連接公網(wǎng)的接口。13.4FirewalldFirewalld默認(rèn)的區(qū)域及配置如表13-3所示。區(qū)域默認(rèn)配置預(yù)定義服務(wù)trusted允許所有進站通信

home拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信dhcpv6-client,mdns,samba-client,sshinternal拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信dhcpv6-client,mdns,samba-client,sshwork拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信dhcpv6-client,mdns,sshpublic默認(rèn)區(qū)域，拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信dhcpv6-client,mdns,sshexternal拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信，穿過該區(qū)域的IPv4出站通信將出站源偽裝為出站網(wǎng)絡(luò)接口地址sshdmz拒絕除與出站有關(guān)的通信或預(yù)定義服務(wù)以外的所有進站通信sshblock拒絕除與出站有關(guān)的通信以外的所有進站通信

drop丟棄除與出站有關(guān)的通信以外的所有進站通信(包括ICMP錯誤信息)

13.5Firewall-cmd防火墻Firwalld的管理工具有多種，包括： 使用firewall-config圖形工具。 使用firewall-cmd命令行工具。

Firewalld配置文件。使用firewall-cmd命令行工具對防火墻進行管理，需要了解該命令的語法格式及解析。表13-4列舉了firewall-cmd命令行工具常用的參數(shù)及解析。13.5Firewall-cmd參數(shù)解析--add-interface=inter[--zone=zone]將源自指定接口的通信路由至指定區(qū)域，若未指定，則為默認(rèn)區(qū)域--change-interface=inter[--zone=zone]設(shè)定接口與指定區(qū)域關(guān)聯(lián)(代替原關(guān)聯(lián))，若未指定區(qū)域，則為默認(rèn)區(qū)域--list-all[--zone=zone]列出指定區(qū)域配置的接口，源，服務(wù)及端口，若未指定，則列出默認(rèn)區(qū)域--add-service=service[--zone=zone]允許指定服務(wù)的通信，若不指定區(qū)域，則為默認(rèn)區(qū)域--add-port=port/protocol[--zone=zone]允許指定端口/服務(wù)的通信，若不指定區(qū)域，則為默認(rèn)區(qū)域--remove-service=service[--zone=zone]移除規(guī)則--remove-port=port/protocol[--zone=zone]移除規(guī)則--permanent永久生效--reload重新加載表13-4firewall-cmd命令行工具常用的參數(shù)及解析項目實施任務(wù)13-1配置NAT地址轉(zhuǎn)換任務(wù)13-1配置NAT地址轉(zhuǎn)換任務(wù)規(guī)劃根據(jù)規(guī)劃，運維工程師需要在Router服務(wù)器上配置防火墻，利用NAT地址轉(zhuǎn)換技術(shù)來實現(xiàn)內(nèi)網(wǎng)客戶端能與外部網(wǎng)絡(luò)正常通信。本任務(wù)步驟涉及如下內(nèi)容：（1）啟用openEuler服務(wù)器的防火墻服務(wù)。（2）劃分服務(wù)器接口到對應(yīng)的防火墻區(qū)域。（3）配置NAT地址轉(zhuǎn)換。（4）重載防火墻配置。任務(wù)13-1配置NAT地址轉(zhuǎn)換任務(wù)實施1.啟用服務(wù)器上的防火墻服務(wù)由于服務(wù)器初始化時已經(jīng)將防火墻服務(wù)關(guān)閉，并且設(shè)置為默認(rèn)不開機啟動，因此，需要啟用防火墻服務(wù)并設(shè)置為默認(rèn)開機啟動。配置命令如下：[root@Router~]#systemctlstartfirewalld[root@Router~]#systemctlenablefirewalld任務(wù)13-1配置NAT地址轉(zhuǎn)換2.劃分服務(wù)器接口到對應(yīng)的防火墻區(qū)域在默認(rèn)情況下，服務(wù)器所有網(wǎng)絡(luò)接口都劃分為public區(qū)域，因此根據(jù)規(guī)劃，需要使用“firewall-cmd”命令將Router服務(wù)器的3個接口劃分到防火墻對應(yīng)的區(qū)域中，配置命令如下：[root@Router~]#firewall-cmd--change-interface=ens33--zone=external--permanent[root@Router~]#firewall-cmd--change-interface=ens37--zone=dmz--permanent[root@Router~]#firewall-cmd--change-interface=ens38--zone=trusted--permanent任務(wù)13-1配置NAT地址轉(zhuǎn)換3.配置NAT地址轉(zhuǎn)換。（1）關(guān)閉防火墻external區(qū)域默認(rèn)的IP地址偽裝功能，配置命令如下：（2）設(shè)置防火墻僅轉(zhuǎn)換【/24】網(wǎng)段的地址共享單一的公網(wǎng)IP地址訪問外部網(wǎng)絡(luò)，配置命令如下：[root@Router~]#firewall-cmd--zone=external--remove-masquerade[root@Router~]#firewall-cmd--zone=external--add-rich-rule='rulefamily=ipv4sourceaddress=/24masquerade'--permanent任務(wù)13-1配置NAT地址轉(zhuǎn)換4.重載防火墻配置。由于在配置時使用了【--permanent】選項，防火墻的配置不會立即生效，因此，在配置完成后應(yīng)重新載入防火墻的配置，配置命令如下：[root@Router~]#firewall-cmd--reload任務(wù)13-1配置NAT地址轉(zhuǎn)換任務(wù)驗證（1）在內(nèi)網(wǎng)PC1設(shè)備上通過“ping”命令測試內(nèi)網(wǎng)PC1與內(nèi)網(wǎng)Web服務(wù)器的通信，結(jié)果應(yīng)為ICMP報文正常應(yīng)答，驗證命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.64bytesfrom01:icmp_seq=1ttl=63time=0.777ms64bytesfrom01:icmp_seq=2ttl=63time=1.23ms64bytesfrom01:icmp_seq=3ttl=63time=1.45ms

---01pingstatistics---3packetstransmitted,3received,0%packetloss,time18msrttmin/avg/max/mdev=0.777/1.151/1.445/0.278ms任務(wù)13-1配置NAT地址轉(zhuǎn)換（2）在內(nèi)網(wǎng)PC1上使用【ping-c301】命令測試內(nèi)網(wǎng)與外部網(wǎng)絡(luò)之間的連接通信，結(jié)果應(yīng)為ICMP報文正常應(yīng)答，驗證命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.64bytesfrom01:icmp_seq=1ttl=64time=0.298ms64bytesfrom01:icmp_seq=2ttl=64time=2.24ms64bytesfrom01:icmp_seq=3ttl=64time=0.478ms

---01pingstatistics---3packetstransmitted,3received,0%packetloss,time36msrttmin/avg/max/mdev=0.298/1.004/2.237/0.875ms任務(wù)13-2配置防火墻規(guī)則任務(wù)13-2配置防火墻規(guī)則任務(wù)規(guī)劃在配置完成NAT地址轉(zhuǎn)換后，局域網(wǎng)內(nèi)的客戶端即可訪問外部網(wǎng)絡(luò)了，接下來，運維工程師需要局域網(wǎng)內(nèi)的訪問限制要求配置防火墻規(guī)則。本任務(wù)需要完成如下幾點：（1）配置external區(qū)域規(guī)則，禁止外網(wǎng)的IMCP和SSH流量；（2）配置dmz區(qū)域規(guī)則，允許對Web服務(wù)器內(nèi)的http服務(wù)訪問，禁止對其他服務(wù)的訪問請求并禁止ICMP流量。任務(wù)13-2配置防火墻規(guī)則任務(wù)實施1.配置external區(qū)域規(guī)則（1）通過“firewall-cmd”命令設(shè)置防火墻規(guī)則為：禁止從外網(wǎng)進入的ICMP通信流量，配置命令如下：[root@Router~]#firewall-cmd--zone=external--add-icmp-block=echo-request--permanent任務(wù)13-2配置防火墻規(guī)則（2）通過“firewall-cmd”命令設(shè)置防火墻規(guī)則為：禁止從外網(wǎng)進入的SSH流量，配置命令如下：（3）通過“firewall-cmd”命令在external區(qū)域添加端口轉(zhuǎn)發(fā)規(guī)則，將外部訪問防火墻80端口的請求轉(zhuǎn)發(fā)到Web服務(wù)器（01）進行處理，配置命令如下：[root@Router~]#firewall-cmd--zone=external--remove-service=ssh--permanent[root@Router~]#firewall-cmd--zone=external--add-forward-port=port=80:proto=tcp:toaddr=01任務(wù)13-2配置防火墻規(guī)則2.配置dmz區(qū)域規(guī)則（1）通過“firewall-cmd”命令設(shè)置允許Web服務(wù)器內(nèi)http服務(wù)的訪問，配置命令如下：（2）通過“firewall-cmd”命令設(shè)置dmz區(qū)域禁止ICMP通信，配置命令如下：（3）通過“firewall-cmd”命令設(shè)置dmz區(qū)域禁止其它訪問請求，配置命令如下：[root@Router~]#firewall-cmd--zone=dmz--add-service=http--permanent[root@Router~]#firewall-cmd--zone=dmz--add-icmp-block=echo-request--permanent[root@Router~]#firewall-cmd--zone=dmz--set-target=REJECT--permanent任務(wù)13-2配置防火墻規(guī)則任務(wù)驗證（1）在內(nèi)網(wǎng)PC1上運行“curl01”命令能成功訪問WebServer的http服務(wù)，驗證命令如下。[root@OfficePC1~]#curl01TheInternalWebSite任務(wù)13-2配置防火墻規(guī)則任務(wù)驗證（2）在內(nèi)網(wǎng)PC1上通過“ping”命令來測試內(nèi)網(wǎng)PC1與內(nèi)網(wǎng)Web服務(wù)器之間的通信，將顯示無法Ping通，驗證命令如下。[root@OfficePC1~]#ping-c301PING01(01)56(84)bytesofdata.From01icmp_seq=1PacketfilteredFrom01icmp_seq=2PacketfilteredFrom01icmp_seq=3Packetfiltered

---01pingstatistics---packetstransmitted,0received,+3errors,100%packetloss,time7ms任務(wù)13-2配置防火墻規(guī)則（3）外網(wǎng)客戶端PubClient訪問Router服務(wù)器的http流量被轉(zhuǎn)發(fā)到WebServer服務(wù)器，驗證命令如下。[root@PubClient~]#curl01TheInternalWebSite任務(wù)13-3配置防火墻富規(guī)則任務(wù)13-3配置防火墻富規(guī)則任務(wù)規(guī)劃在配置完成NAT地址轉(zhuǎn)換后，局域網(wǎng)內(nèi)的客戶端即可訪問外部網(wǎng)絡(luò)了，接下來，運維工程師需要局域網(wǎng)內(nèi)的訪問限制要求配置防火墻富規(guī)則。本任務(wù)需要完成如下幾點：（1）配置trusted區(qū)域規(guī)則，僅允許源地址為【02/24】的主機進行SSH遠(yuǎn)程登錄Router。（2）配置dmz區(qū)域規(guī)則，禁止源地址為【01/24】的主機進行SSH遠(yuǎn)程登錄Router，禁止源地址為【01/24】的主機流量到達Router。任務(wù)13-3配置防火墻富規(guī)則任務(wù)實施1. 配置trusted區(qū)域規(guī)則(1) 通過“firewall-cmd”命令設(shè)置trusted區(qū)域僅允許源地址為【02】的主機進行SSH遠(yuǎn)程登錄，配置命令如下：(2) 通過“firewall-cmd”命令移除開放的ssh服務(wù)，表示禁止所有其它SSH遠(yuǎn)程登錄訪問，配置命令如下：[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="02"destinationaddress="54"servicename="ssh"accept"--permanent[root@Router~]#firewall-cmd--zone=trusted--remove-service=ssh--permanent任務(wù)13-3配置防火墻富規(guī)則2. 配置dmz區(qū)域規(guī)則(1) 禁止源地址為【01/24】的主機進行SSH遠(yuǎn)程登錄Router，配置命令如下：(2) 通過“firewall-cmd”命令禁止源地址為【01/24】的主機流量到達Router，配置命令如下：[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"servicename="ssh"accept"--permanent[root@Router~]#firewall-cmd--zone=trusted--add-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"protocolvalue="icmp"accept"--permanent任務(wù)13-3配置防火墻富規(guī)則3. 重啟firewall服務(wù)(1) 通過“firewall-cmd”命令重新加載，配置命令如下：(2) 通過“systemctl”命令重啟防火墻服務(wù)，配置命令如下：[root@Router~]#firewall-cmd--reload[root@Router~]#systemctlrestartfirewall任務(wù)13-3配置防火墻富規(guī)則任務(wù)驗證（1）在運維部PC上運行“ssh54”命令可以遠(yuǎn)程登錄訪問Router服務(wù)器，而在內(nèi)網(wǎng)其它客戶端無法遠(yuǎn)程SSH登錄，驗證命令如下。[root@OfficePC1~]#ssh54ssh:connecttohost54port22:Noroutetohost[root@ManagePC~]#ssh54root@54'spassword:Lastlogin:TueMar1711:06:482022from02任務(wù)13-3配置防火墻富規(guī)則（2）在內(nèi)網(wǎng)Web服務(wù)器上運行“ssh54”命令無法遠(yuǎn)程SSH登錄，將防火墻命令取消后可以遠(yuǎn)程登錄。驗證命令如下。[root@WebServer~]#ssh54ssh:connecttohost54port22:Noroutetohost

[root@Router~]#firewall-cmd--zone=trusted--remove-rich-rule="rulefamily="ipv4"sourceaddress="01"destinationaddress="54"servicename="ssh"accept"–permanent[root@Router~]#firewall-cmd--reload

[root@WebServer~]#ssh54root@54'spassword:Lastlogin:FriJan317:06:482023from54任務(wù)13-3配置防火墻富規(guī)則（3）在內(nèi)網(wǎng)Web服務(wù)器上運行“ping54”命令無法聯(lián)通Router，驗證命令如下。[root@WebServer~]#ping54PING54(54)56(84)bytesofdata.From54icmp_seq=1DestinationPortUnreachableFrom54icmp_seq=2DestinationPortUnreachableFrom01icmp_seq=3DestinationPortUnreachableFrom01icmp_seq=4DestinationPortUnreachable

---54pingstatistics---4packetstransmitted,0received,+4errors,100%packetloss,time2003ms

[root@Router~]#firewall-cmd--zone=trusted--remove-rich-rule="rulefamily="ipv4"sourceaddress="01"destinat