- 1、本文档共50页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
项目13部署openEuler服务器防火墙
项目描述项目分析相关知识项目实施练习与实践目录
学习目标(1)了解openEuler服务器担任网关/路由角色的应用场景。(2)掌握数据流量过滤型防火墙的工作原理与配置。(3)了解企业生产环境下部署openEuler防火墙的基本规范。
项目描述
项目描述Jan16公司最近上线一台openEuler操作系统的服务器,规划将这台服务器作为公司网络入口的路由器角色。路由器作为内外部网交汇点,容易遭受到外网甚至是内网的攻击,造成网络瘫痪、业务停摆等后果,因此,Jan16公司规划在服务器上部署路由服务为公司内外网联通提供基础,同时启用防火墙防护功能对内外网的流量进行过滤,按需开放访问,提高公司网络的安全性。根据调研,目前公司网络访问需求主要有如下几点:(1)公司向运营商申请了1个公网IP地址为01/28,公司内部网络可以通过路由器的NAT服务,将私有地址转换为公网地址后访问外部网络。(2)公司内部设置DMZ非军事化区用于管理公司对外业务的服务器(如Web服务器),内部网络可以访问DMZ区域。
项目描述(3)外部网络的客户端仅允许访问DMZ区开放的端口,不能访问内网中的其它主机。Jan16公司的网络拓扑如图13-1所示。图13-1Jan16公司的网络拓扑
项目分析
项目分析根据公司网络访问需求和网络拓扑结构,运维工程师需要在Router服务器上配置防火墙规则,用于对于内网与外网之间数据流量进行过滤和控制数据流量的转发。具体可分解为以下工作任务:(1)实现公司内网的正常联通。(2)在Router服务器ens33接口的出方向实现内网的流量进行NAT地址转换。(3)在Router服务器ens33接口的入方向实现丢弃外网服务器对内网发送的SSH和ICMP流量。(4)仅允许IP地址为02/24的运维部PC通过SSH访问Router服务器。(5)在Router服务器上划分DMZ区域,并在该区域中设置放通Web服务器端口流量的防火墙规则。(6)禁止内网客户端与Web服务器的ICMP通信。
项目分析为了项目顺利实施,网络管理员规划了设备配置信息表(见表13-1)和服务器接口对应区域规划信息表(见表13-2)的内容。表13-1设备配置信息表设备名角色主机名接口IP地址网关地址JX3270路由器Routerens3301/28?ens3754/24?ens3854/24?JX3271Web服务器WebServerens3301/2454JX5361内网PC1OfficePC1ens3301/2454JX5362运维部PCManagePCens3302/2454PS3320外网Web服务器PubServerens3302/28?PC5360外网客户端PubClientens3303/28?
项目分析表13-2服务器接口对应区域规划综上,在本项目中主要有如下几点任务:(1)配置NAT地址转换,实现公司内外网联通。(2)配置防火墙规则,实现对内网与外网之间的数据流量访问控制。设备名主机名接口划分区域区域用途JX3270Routerens33external外部区域ens37dmzDMZ区域ens38trusted受信区域
相关知识
13.1防火墙的类型按照功能逻辑分类,防火墙可以分为主机防火墙和网络防护墙。主机防火墙:针对本地主机接收或发送的数据包进行过滤。(操作对象为个体)网络防火墙:处于网络边缘,针对网络入口的数据包进行转发和过滤。(操作对象为整体)按照物理形式分类,防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙:专有的硬件防火墙设备,如华为硬件防火墙,功能强大,性能高,但是成本较高。软件防火墙:通过系统软件实现防火墙的功能,如Linux内核集成的数据包处理模块实现防火墙功能,定制自由度高,性能受服务器硬件和系统影响,部署成本低。
13.2NetfilterNetfilter是Linux内核中的一个软件框架,用于管理网络数据包。它不仅具有网络地址转换(NAT)的功能,也具备数据包内容修改及数据包过滤等防火墙功能。利用运作于用户空间的应用软件(如iptables、ebtables和arptables等)来控制Netfilter,运维工程师就可以管理通过openEuler操作系统的各种网络数据包。
13.3iptables这里指iptables及其家族(iptables,ip6tables,arptables,ebtables,和ipset),即运行于用户空间来操作Netfilter的软件。
13.4FirewalldFirewalld位于前端,iptables或nftables运行在后端;iptables或nftables操作Netfilter。老版本的firewalld使用iptables作
您可能关注的文档
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目1 部署openEuler服务器系统.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目2 使用shell管理本地文件.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目3 管理openEuler的用户与组.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目4 管理IP网络-重制.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目5 openEuler系统的基础配置.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目6 企业内部数据储存与共享.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目7 部署企业的DHCP服务.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目8 部署企业DNS服务.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目9 部署企业的Web服务.pptx
- 信创服务器操作系统的配置与管理(openEuler版) 课件 项目10 部署企业的FTP服务.pptx
- 2024年安徽亳州蒙城县招募特聘动物防疫专员18人历年公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年夏福建上杭县事业单位招考拟录人选五公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年国网英大国际控股集团限公司招聘约4人历年公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年安徽安庆桐城团市委选调工作人员1人历年公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年宁波市象山县黄避岙乡人民政府招考编制外人员公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年安徽合肥肥西县供销社招聘基层单位工作人员12人公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年国家科技基础平台中心招聘2人公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年安徽六安裕安区招聘乡镇事业单位人员5人历年公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年大同市左云县部分事业单位招考聘用41人公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
- 2024年四川省成都石油化学工业园区管理委员会招聘6人历年公开引进高层次人才和急需紧缺人才笔试参考题库(共500题)答案详解版.docx
文档评论(0)