信创服务器操作系统的配置与管理（openEuler版） 课件 项目13 部署openEuler服务器防火墙.pptx

项目13部署openEuler服务器防火墙

项目描述项目分析相关知识项目实施练习与实践目录

学习目标(1)了解openEuler服务器担任网关/路由角色的应用场景。(2)掌握数据流量过滤型防火墙的工作原理与配置。(3)了解企业生产环境下部署openEuler防火墙的基本规范。

项目描述

项目描述Jan16公司最近上线一台openEuler操作系统的服务器，规划将这台服务器作为公司网络入口的路由器角色。路由器作为内外部网交汇点，容易遭受到外网甚至是内网的攻击，造成网络瘫痪、业务停摆等后果，因此，Jan16公司规划在服务器上部署路由服务为公司内外网联通提供基础，同时启用防火墙防护功能对内外网的流量进行过滤，按需开放访问，提高公司网络的安全性。根据调研，目前公司网络访问需求主要有如下几点：（1）公司向运营商申请了1个公网IP地址为01/28，公司内部网络可以通过路由器的NAT服务，将私有地址转换为公网地址后访问外部网络。（2）公司内部设置DMZ非军事化区用于管理公司对外业务的服务器（如Web服务器），内部网络可以访问DMZ区域。

项目描述（3）外部网络的客户端仅允许访问DMZ区开放的端口，不能访问内网中的其它主机。Jan16公司的网络拓扑如图13-1所示。图13-1Jan16公司的网络拓扑

项目分析

项目分析根据公司网络访问需求和网络拓扑结构，运维工程师需要在Router服务器上配置防火墙规则，用于对于内网与外网之间数据流量进行过滤和控制数据流量的转发。具体可分解为以下工作任务：（1）实现公司内网的正常联通。（2）在Router服务器ens33接口的出方向实现内网的流量进行NAT地址转换。（3）在Router服务器ens33接口的入方向实现丢弃外网服务器对内网发送的SSH和ICMP流量。（4）仅允许IP地址为02/24的运维部PC通过SSH访问Router服务器。（5）在Router服务器上划分DMZ区域，并在该区域中设置放通Web服务器端口流量的防火墙规则。（6）禁止内网客户端与Web服务器的ICMP通信。

项目分析为了项目顺利实施，网络管理员规划了设备配置信息表（见表13-1）和服务器接口对应区域规划信息表（见表13-2）的内容。表13-1设备配置信息表设备名角色主机名接口IP地址网关地址JX3270路由器Routerens3301/28?ens3754/24?ens3854/24?JX3271Web服务器WebServerens3301/2454JX5361内网PC1OfficePC1ens3301/2454JX5362运维部PCManagePCens3302/2454PS3320外网Web服务器PubServerens3302/28?PC5360外网客户端PubClientens3303/28?

项目分析表13-2服务器接口对应区域规划综上，在本项目中主要有如下几点任务：（1）配置NAT地址转换，实现公司内外网联通。（2）配置防火墙规则，实现对内网与外网之间的数据流量访问控制。设备名主机名接口划分区域区域用途JX3270Routerens33external外部区域ens37dmzDMZ区域ens38trusted受信区域

相关知识

13.1防火墙的类型按照功能逻辑分类，防火墙可以分为主机防火墙和网络防护墙。主机防火墙：针对本地主机接收或发送的数据包进行过滤。（操作对象为个体）网络防火墙：处于网络边缘，针对网络入口的数据包进行转发和过滤。（操作对象为整体）按照物理形式分类，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙：专有的硬件防火墙设备，如华为硬件防火墙，功能强大，性能高，但是成本较高。软件防火墙：通过系统软件实现防火墙的功能，如Linux内核集成的数据包处理模块实现防火墙功能，定制自由度高，性能受服务器硬件和系统影响，部署成本低。

13.2NetfilterNetfilter是Linux内核中的一个软件框架，用于管理网络数据包。它不仅具有网络地址转换（NAT）的功能，也具备数据包内容修改及数据包过滤等防火墙功能。利用运作于用户空间的应用软件（如iptables、ebtables和arptables等）来控制Netfilter，运维工程师就可以管理通过openEuler操作系统的各种网络数据包。

13.3iptables这里指iptables及其家族(iptables,ip6tables,arptables,ebtables,和ipset),即运行于用户空间来操作Netfilter的软件。

13.4FirewalldFirewalld位于前端，iptables或nftables运行在后端；iptables或nftables操作Netfilter。老版本的firewalld使用iptables作