中小型企业级防火墙部署

站长

发表文章数:4245

.Net快速上手Nlog日志组件

防火墙

防火墙是由软件和硬件组成的系统,它处于安全的网络(通常是内部局域网)和不安全的网络(通常是Internet,但不局限于Internet)之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤。
  由于防火墙置于两个网络之间,因此从一个网络到另一个网络的所有数据流都要流经防火墙。根据安全策略,防火墙对数据流的处理方式有3种:

(1)允许数据流通过;
(2)拒绝数据流通过;
(3)将这些数据流丢弃。

当数据流被拒绝时,防火墙要向发送者回复一条消息,提示发送者该数据流已被拒绝。当数据流被丢弃时,防火墙不会对这些数据包进行任何处理,也不会向发送者发送任何提示信息。丢弃数据包的做法加长了网络扫描所花费的时间,发送者只能等待回应直至通信超时。
  防火墙是Internet安全的最基本组成部分。但是,我们必须要牢记,仅采用防火墙并不能给整个网络提供全局的安全性。对于防御内部的攻击,防火墙显得无能为力,同祥对于那些绕过防火墙的连接(如某些人通过拨号上网),防火墙则毫无用武之地。

IPTABLES

iptables简介

netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

iptables基础

规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规 则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

iptables和netfilter的关系

这是第一个要说的地方,Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。

iptables传输数据包的过程

(1)当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 
(2)如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 
(3)如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

中小型企业级防火墙部署

iptables的规则表和链

表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
  链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。
  Iptables采用“表”和“链”的分层结构。在REHL4中是三张表五个链。现在REHL5成了四张表五个链了,不过多出来的那个表用的也不太多,所以基本还是和以前一样。下面罗列一下这四张表和五个链。注意一定要明白这些表和链的关系及作用

规则表

1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包  内核模块:iptables_filter.
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4.Raw表——两个链:OUTPUT、PREROUTING

作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw

规则链

1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则 (所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

iptables命令参数

-A  在指定链的末尾添加(append)一条新的规则
-D  删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I  在指定链中插入(insert)一条新的规则,默认在第一行添加
-R  修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L  列出(list)指定链中所有的规则进行查看
-E  重命名用户定义的链,不改变链本身
-F  清空(flush)
-N  新建(new-chain)一条用户自己定义的规则链
-X  删除指定表中用户自定义的规则链(delete-chain)
-P  设置指定链的默认策略(policy)
-Z  将所有表的所有链的字节和数据包计数器清零
-n  使用数字形式(numeric)显示输出结果
-v  查看规则表详细信息(verbose)的信息
-V  查看版本(version)
-h  获取帮助(help)

环境搭建

企业拓扑

中小型企业级防火墙部署

环境准备

DMZ区:CentOS7 --- IP:192.168.9.100 Gateway:192.168.9.254
防火墙:kali --- ip1:211.67.93.254;ip2:192.168.9.254;ip3:192.168.33.254;
外网主机:win2003 --- IP:211.67.93.100  Gateway:211.67.93.254
内网主机:win2003 --- IP:192.168.33.100 Gateway:192.168.33.254

环境部署

Firewalld路由模式

在防火墙(kali)上设置转发功能

→ Qftm ← :~# vim /etc/sysctl.conf

中小型企业级防火墙部署
中小型企业级防火墙部署

Firewalld初始化策略

中小型企业级防火墙部署

Firewalld默认策略

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

中小型企业级防火墙部署

Firewalld安全策略

允许内网主机访问外网,但不允许外网访问内网主机

允许内网访问外网 动态NAT 自动封装改变源IP

iptables -t nat -A POSTROUTING -s 192.168.9.0/24 -o eth1 -j MASQUERADE

限制外网访问内网(限制新连接,旧链接是内网访问外网返回回来的数据)

DOCKER学习_010:Docker的文件系统以及制作镜像

iptables -t filter -A FORWARD -i eth1 -o eth3 -m state --state NEW -j DROP

中小型企业级防火墙部署

测试

内网ping外网,能ping通

中小型企业级防火墙部署

  外网ping内网ping不通


中小型企业级防火墙部署

外网不能直接访问DMZ,允许外网通过公网IP访问DMZ区域中Web服务

不允许外网直接访问DMZ区

iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP

中小型企业级防火墙部署

  使用DNAT通过访问公网IP访问DMZ中web服务器

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

中小型企业级防火墙部署
中小型企业级防火墙部署

允许外网通过公网IP SSH DMZ区域web服务器进行远程管理

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100

中小型企业级防火墙部署

  远程SSH

中小型企业级防火墙部署

允许外网通过公网IP ping DMZ区域主机

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

中小型企业级防火墙部署

  Ping测试

中小型企业级防火墙部署

允许内网主机访问内网DMZ区域的服务器,DMZ区域的服务器不允许访问内网主机

允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

中小型企业级防火墙部署

  访问测试

中小型企业级防火墙部署

不允许DMZ区直接访问内网

避免当侵略者攻陷DMZ时,进一步攻到内测

iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP

中小型企业级防火墙部署

Firewalld集成策略

#!/bin/bash
:<<EOF
title: Firewalld集成策略
date: 2020/01/01
author: Qftm
EOF
#初始化策略
iptables -F
iptables -t nat -F
iptables -X

#设置链路的默认策略
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

##允许内网主机访问外网,但不允许外网访问内网主机 
#允许内网访问外网 动态NAT 自动封装改变源IP
iptables -t nat -A POSTROUTING -s 192.33.3.0/24 -o eth1 -j MASQUERADE
#限制外网访问内网(限制新连接,旧链接是内网访问外网返回回来的数据)
iptables -t filter -A FORWARD -i eth1 -o eth2 -m state --state NEW -j DROP

##外网不能直接访问DMZ,允许外网通过公网IP访问DMZ区域中Web服务 
#不允许外网直接访问DMZ区
iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP
#使用DNAT通过访问公网IP访问DMZ中web服务器
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#允许外网通过公网IP SSH DMZ区域web服务器进行远程管理
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100
#允许外网通过公网IP ping DMZ区域主机
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

##允许内网主机访问内网DMZ区域的服务器,DMZ区域的服务器不允许访问内网主机 
#允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#不允许DMZ区直接访问内网
iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP

Linux 学习笔记 4 创建、复制、移动、文件的基本操作

未经允许不得转载:www.xssyun.com作者:站长, 转载或复制请以 超链接形式 并注明出处 xss云之家-资源网,新人技术交流平台,一个湖北娃的个人博客
原文地址:《中小型企业级防火墙部署》 发布于2020-01-01

分享到:
赞(0) 生成海报

长按图片转发给朋友

投稿赚钱
2020年在家赚取零花钱
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册