中小型企业级防火墙部署

时间 2020-01-02

标签中小型企业防火墙部署繁體版

原文原文链接

2020年第一篇文章，先祝你们新年快乐，2020年暴瘦、暴富~~~，新年第一天就在作项目QAQ，在这里分享项目的一部分，其它部分将在后面开源分享，欢迎你们一块儿交流分享web

防火墙

防火墙是由软件和硬件组成的系统，它处于安全的网络(一般是内部局域网)和不安全的网络(一般是Internet，但不局限于Internet)之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。
因为防火墙置于两个网络之间，所以从一个网络到另外一个网络的全部数据流都要流经防火墙。根据安全策略，防火墙对数据流的处理方式有3种:shell

（1）容许数据流经过；
（2）拒绝数据流经过；
（3）将这些数据流丢弃；

当数据流被拒绝时，防火墙要向发送者回复一条消息，提示发送者该数据流已被拒绝。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。丢弃数据包的作法加长了网络扫描所花费的时间，发送者只能等待回应直至通讯超时。
防火墙是Internet安全的最基本组成部分。可是，咱们必需要牢记，仅采用防火墙并不能给整个网络提供全局的安全性。对于防护内部的攻击，防火墙显得无能为力，同祥对于那些绕过防火墙的链接(如某些人经过拨号上网)，防火墙则毫无用武之地。vim

IPTABLES

iptables简介

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件同样，这个包过滤防火墙是免费的，它能够代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。安全

iptables基础

规则（rules）其实就是网络管理员预约义的条件，规则通常的定义为“若是数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工做就是添加、修改和删除这些规则。bash

iptables和netfilter的关系

这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。不少的知道iptables殊不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。服务器

iptables传输数据包的过程

（1）当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否须要转送出去。 
（2）若是数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序能够发送数据包，这些数据包会通过OUTPUT链，而后到达POSTROUTING链输出。 
（3）若是数据包是要转发出去的，且内核容许转发，数据包就会如图所示向右移动，通过FORWARD链，而后到达POSTROUTING链输出。

iptables的规则表和链

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。
链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中能够有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否知足规则所定义的条件。若是知足，系统就会根据该条规则所定义的方法处理该数据包；不然iptables将继续检查下一条规则，若是该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。
Iptables采用“表”和“链”的分层结构。在REHL4中是三张表五个链。如今REHL5成了四张表五个链了，不过多出来的那个表用的也不太多，因此基本仍是和之前同样。下面罗列一下这四张表和五个链。注意必定要明白这些表和链的关系及做用网络

规则表

1.filter表——三个链：INPUT、FORWARD、OUTPUT
做用：过滤数据包  内核模块：iptables_filter.
2.Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
做用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
3.Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
做用：修改数据包的服务类型、TTL、而且能够配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，我们设置策略时几乎都不会用到它)
4.Raw表——两个链：OUTPUT、PREROUTING

做用：决定数据包是否被状态跟踪机制处理内核模块：iptable_rawapp

规则链

1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包做路由选择前应用此链中的规则 （全部的数据包进来的时侯都先由这个链处理）
5.POSTROUTING——对数据包做路由选择后应用此链中的规则（全部的数据包出来的时侯都先由这个链处理）

iptables命令参数

-A  在指定链的末尾添加（append）一条新的规则
-D  删除（delete）指定链中的某一条规则，能够按规则序号和内容删除
-I  在指定链中插入（insert）一条新的规则，默认在第一行添加
-R  修改、替换（replace）指定链中的某一条规则，能够按规则序号和内容替换
-L  列出（list）指定链中全部的规则进行查看
-E  重命名用户定义的链，不改变链自己
-F  清空（flush）
-N  新建（new-chain）一条用户本身定义的规则链
-X  删除指定表中用户自定义的规则链（delete-chain）
-P  设置指定链的默认策略（policy）
-Z  将全部表的全部链的字节和数据包计数器清零
-n  使用数字形式（numeric）显示输出结果
-v  查看规则表详细信息（verbose）的信息
-V  查看版本(version)
-h  获取帮助（help）

环境搭建

企业拓扑

环境准备

DMZ区：CentOS7 --- IP:192.168.9.100 Gateway:192.168.9.254
防火墙：kali --- ip1:211.67.93.254；ip2:192.168.9.254；ip3:192.168.33.254；
外网主机：win2003 --- IP:211.67.93.100  Gateway:211.67.93.254
内网主机：win2003 --- IP:192.168.33.100 Gateway:192.168.33.254

环境部署

Firewalld路由模式

在防火墙(kali)上设置转发功能ssh

→ Qftm ← :~# vim /etc/sysctl.conftcp

Firewalld初始化策略

Firewalld默认策略

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

Firewalld安全策略

容许内网主机访问外网，但不容许外网访问内网主机

容许内网访问外网动态NAT 自动封装改变源IP

iptables -t nat -A POSTROUTING -s 192.168.9.0/24 -o eth1 -j MASQUERADE

限制外网访问内网（限制新链接，旧连接是内网访问外网返回回来的数据）

iptables -t filter -A FORWARD -i eth1 -o eth3 -m state --state NEW -j DROP

测试

内网ping外网，能ping通

外网ping内网ping不通

外网不能直接访问DMZ，容许外网经过公网IP访问DMZ区域中Web服务

不容许外网直接访问DMZ区

iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP

使用DNAT经过访问公网IP访问DMZ中web服务器

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

容许外网经过公网IP SSH DMZ区域web服务器进行远程管理

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100

远程SSH

容许外网经过公网IP ping DMZ区域主机

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

Ping测试

容许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不容许访问内网主机

容许内网主机既可经过公网IP访问DMZ中web服务器也可经过内网IP

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

访问测试

不容许DMZ区直接访问内网

避免当侵略者攻陷DMZ时，进一步攻到内测

iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP

Firewalld集成策略

#!/bin/bash
:<<EOF
title: Firewalld集成策略
date: 2020/01/01
author: Qftm
EOF
#初始化策略
iptables -F
iptables -t nat -F
iptables -X

#设置链路的默认策略
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

##容许内网主机访问外网，但不容许外网访问内网主机 
#容许内网访问外网 动态NAT 自动封装改变源IP
iptables -t nat -A POSTROUTING -s 192.33.3.0/24 -o eth1 -j MASQUERADE
#限制外网访问内网（限制新链接，旧连接是内网访问外网返回回来的数据）
iptables -t filter -A FORWARD -i eth1 -o eth2 -m state --state NEW -j DROP

##外网不能直接访问DMZ，容许外网经过公网IP访问DMZ区域中Web服务 
#不容许外网直接访问DMZ区
iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP
#使用DNAT经过访问公网IP访问DMZ中web服务器
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#容许外网经过公网IP SSH DMZ区域web服务器进行远程管理
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100
#容许外网经过公网IP ping DMZ区域主机
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

##容许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不容许访问内网主机 
#容许内网主机既可经过公网IP访问DMZ中web服务器也可经过内网IP
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#不容许DMZ区直接访问内网
iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP