专做丰田车货款的网站,小程序开发平台好的有哪些,做婚庆的网站有哪些,赤峰网站建设实验环境 某公司的Web服务器#xff0c;网关服务器均采用Linux CentOS 7.3操作系统#xff0c;如图2.13所示。为了 加强网络访问的安全性#xff0c;要求管理员熟悉firewalld防火墙规则的编写#xff0c;以便制定有效、可行的主机防护策略。 需求描述 网关服务器ens3…实验环境 某公司的Web服务器网关服务器均采用Linux CentOS 7.3操作系统如图2.13所示。为了 加强网络访问的安全性要求管理员熟悉firewalld防火墙规则的编写以便制定有效、可行的主机防护策略。 需求描述 网关服务器ens36网卡分配到external外部区域ens37网卡分配到trusted信任区域ens38网卡分配到dmz非军事区域。 网站服务器和网关服务器将SSH默认端口都改为12345。 网站服务器开启https过滤未加密的 http 流量且拒绝ping。 推荐步骤
①基本环境配置。
1为网关服务器与网站服务器配置主机名及网卡地址并更改SSH的侦听地址。
2开启网关服务器的路由转发功能。
②在网站服务器上部署Web站点。
③为网站服务器与网关服务器编写firewalld规则。
④ 实验结果验证。 1.基本环境配置
1在网关服务器上配置主机名及网卡地址。
[rootnode01 ~]# hostname gateway-server[rootnode01 ~]# vim /etc/hostnamegateway-server [rootgateway-server ~]# ifconfig 2开启网关服务器的路由转发功能。
[rootgateway-server ~]# vim /etc/sysctl.confnet.ipv4.ip_forward 1[rootgateway-server ~]# sysctl -p 3配置 web服务器主机名及网卡地址。
[rootnode01 ~]# hostname web
[rootnode02 ~]# vim /etc/hostnameweb[rootweb ~]# ifconfig 2.网站服务器环境搭建
1安装httpd和mod_ssl 软件包。
[rootweb ~]# mount /dev/cdrom /mnt/
[rootweb ~]# cd /etc/yum.repos.d/
[rootweb yum.repos.d]# vim centos7.repo[local]
nameCnetOS 7.3
baseurlfile:///mnt/
enabled1
gpgcheck0[rootweb ~]# yum -y install httpd mod_ssl 2启用并启动httpd服务。
[rootweb ~]# systemctl start httpd
[rootweb ~]# systemctl enable httpd 3创建网站首页测试页index.html。
[rootweb ~]# vim /var/www/html/index.htmlh1this is a web/h1 4更改SSH的侦听地址并重启sshd服务需要注意的是这里需要将SELinux关闭。
[rootweb ~]# vim /etc/ssh/sshd_configPort 12345[rootweb ~]# systemctl restart sshd 3.在网站服务器上启动并配置firewalld 防火墙
(1在网站服务器上启动firewalld防火墙并将默认区域设置为dmz区域firewalld在系统安装 后默认处于启动状态如果不确定机器上的firewalld是否启动可使用systemctl status firewalld或 firewall-omd--state 命令查看其运行状态。
[rootweb ~]# systemctl start firewalld.service
[rootweb ~]# systemctl enable firewalld.service[rootweb ~]# systemctl status firewalld.service2为dmz区域打开https服务及添加TCP的12345端口。
[rootweb ~]# firewall-cmd --zonedmz --add-servicehttps --permanent [rootweb ~]# firewall-cmd --zonedmz --add-port12345/tcp --permanent (3禁止ping。
[rootweb ~]# firewall-cmd --add-icmp-blockecho-request --zonedmz --permanent4因为预定义的SSH服务已经更改默认端口所以将预定义SSH服务移除。
[rootweb ~]# firewall-cmd --zonedmz --remove-servicessh --permanent 5重新加载Firewalld激活配置并查看刚才的配置。
[rootweb ~]# firewall-cmd --reload [rootweb ~]# firewall-cmd --zonedmz --change-interfaceens33[rootweb ~]# firewall-cmd --list-all --zonedmz 4.在网关服务器上配置firewalld 防火墙
1)验证 firewalld在网关服务器上启动并且正在运行。
[rootgateway-server ~]# firewall-cmd --state[rootgateway-server ~]# systemctl start firewalld.service
[rootgateway-server ~]# systemctl enable firewalld.service [rootgateway-server ~]# firewall-cmd --state 2设置默认区域为external 区域并查看配置结果。
[rootgateway-server ~]# firewall-cmd --set-default-zoneexternal [rootgateway-server ~]# firewall-cmd --list-all 3将ens37网卡配置到trusted区域将ens38配置到dmz区域。
[rootgateway-server ~]# firewall-cmd --change-interfaceens37 --zonetrusted [rootgateway-server ~]# firewall-cmd --change-interfaceens38 --zonedmz 4查看配置情况如下。
[rootgateway-server ~]# firewall-cmd --get-active-zones 5在企业内网测试机上访问网站服务器可以成功访问如图中所示。 6更改SSH的侦听端口并重启服务需关闭SELinuJx。
[rootgateway-server ~]# vim /etc/ssh/sshd_configPort 12345[rootgateway-server ~]# systemctl restart sshd 7配置external 区域添加TCP的12345端口。
[rootgateway-server ~]# firewall-cmd --zoneexternal --add-port12345/tcp --permanent 8配置external 区域移除SSH服务。
[rootgateway-server ~]# firewall-cmd --zoneexternal --remove-servicessh --permanent 9配置external 区域禁止ping。
[rootgateway-server ~]# firewall-cmd --zoneexternal --add-icmp-blockecho-request --permanent 10重新加载防火墙激活配置。
[rootgateway-server ~]# firewall-cmd --reload 11使用Internet测试用机访问网站服务器。
