拓撲圖
提示:通過需求分析要求(要我們做什么技術操作),
需求(最終效果):
- 企業內部測驗機可以訪問網站服務器httpd服務
- 企業內部測驗機可以通過SSH遠程管理網站服務器
- Internet測驗機可以通過SSH遠程管理網關服務器
要求(需要做什么技術操作):
- 網站服務器和網關服務器均通過SSH遠程管理,將SSH默認埠修改為12345
- 網站服務器開啟https,過濾未加密得http流量,拒絕ping請求,
一、企業內網測驗機(centos7) Internet測驗機(win10)
提示:如果虛擬機環境,所有網卡型別必須一致,都是V1或V8
例如:
1、編輯網卡
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
重啟ens33網卡
[root@localhost ~]# ifdown ens33;ifup ens33
Internet測驗機
二、網站服務器(centos7)
提示:可以有多種方式安裝httpd,這里使用本地yum安裝
1、 網卡配置
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
[root@localhost ~]# ifdown ens33;ifup ens33
2、 配置yum倉庫
清空原有資料檔案
創建新的資料檔案
3、 yum安裝httpd和mod_ssl
[root@localhost ~]# yum -y install httpd mod_ssl
啟動httpd服務
[root@localhost ~]# systemctl start httpd
創建測驗網站首頁(加油!未來的比爾蓋茨)
[root@localhost ~]# vim /var/www/html/index.html
添加以下內容:
重啟服務
[root@localhost yum.repos.d]# systemctl restart httpd
4、更改SSH監聽埠
[root@localhost ~]# vim /etc/ssh/sshd_config
[root@localhost ~]# setenforce 0 //關閉selinux
[root@localhost ~]# systemctl restart sshd //重啟sshd服務
5、配置防火墻
① //啟動防火墻
[root@localhost ~]# systemctl start firewalld
② //將ens33網卡添加到防火墻dmz區域
[root@localhost ~]# firewall-cmd --zone=dmz --change-interface=ens33
③//允許防火墻dmz區域通過https服務
[root@localhost ~]# firewall-cmd --zone=dmz --add-service=https
④//允許防火墻dmz區域通過tcp的12345埠
[root@localhost ~]# firewall-cmd --zone=dmz --add-port=12345/tcp
⑤//禁止來自dmz區域的ping請求
[root@localhost ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request
⑥//移除默認的22埠的ssh服務
[root@localhost ~]# firewall-cmd --zone=dmz --remove-service=ssh
三、網關服務器(centos7)
注意:加兩塊網卡,型別必須一致,例子使用V1復制的網卡資訊,洗掉UUID號
例如:
1、 網卡配置
拷貝網卡資訊
配置網卡資訊
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
[root@localhost network-scripts]# vim ifcfg-ens37
[root@localhost network-scripts]# vim ifcfg-ens38
[root@localhost network-scripts]# systemctl restart network
2、開啟路由轉發功能
[root@localhost ~]# vim /etc/sysctl.conf
3、 更改ssh偵聽埠
[root@localhost ~]# vim /etc/ssh/sshd_config
關閉selinux(關閉,否則安全策略可能會阻止)
[root@localhost ~]# setenforce 0
重啟sshd服務(更改組態檔后重啟服務,才能生效)
[root@localhost ~]# systemctl restart sshd
4、Firewalld防火墻配置
開啟防火墻
[root@localhost ~]# systemctl start firewalld
將ens37網卡添加到trusted區域
[root@localhost ~]# firewall-cmd --zone=trusted --change-interface=ens37
將ens33網卡添加到external區域
[root@localhost ~]# firewall-cmd --zone=external --change-interface=ens33
將ens38網卡添加到dmz區域
[root@localhost ~]# firewall-cmd --zone=dmz --change-interface=ens38
允許external區域通過tcp的12345埠
[root@localhost ~]# firewall-cmd --zone=external --add-port=12345/tcp
移除external區域默認的22埠的ssh服務
[root@localhost ~]# firewall-cmd --zone=external --remove-service=ssh
禁止來自external區域的ping請求
[root@localhost ~]# firewall-cmd --zone=external --add-icmp-block=echo-request
驗證
企業內部測驗機
- 企業內部測驗機可以訪問網站服務器httpd服務
注意:網址要加上https(不加默認使用http訪問)
選擇高級
添加例外
確認安全
即可看到,創建的網頁
- 企業內網測驗機不能ping通網站服務器
- 企業內部測驗機可以通過SSH遠程管理網站服務器
Internet測驗機
ssh遠程管理網關服務器
輸入root用戶、密碼即可登錄成功
不能ping網關服務器
報錯處理:
1)無法重啟網卡服務
查看所有網卡資訊
發現問題:忘記添加網卡(注意不一定每次都會一下就找到問題,要不斷縮小錯誤范圍,最后定位原因)
解決方案:添加網卡ens37、ens38重啟正常,不同電腦添加的網卡名稱不一樣,也可能是ens36、ens37等等,可先用命令查看,再配置的時候用對正確的名稱,
2)防止報錯,我們能做些什么?
這個專案,關于安全的肯定受到安全策略影響,將其設為寬容模式,命令setenfore 0
防火墻一定要配置正確,且要注意有些操作的先后順序,上圖錯誤,我雖然再次添加網卡,但是搞亂順序,防火墻已經將規則寫進錯誤的配置環境,改了也不行,得重新恢復此這個服務器快照,
按照標準化流程走,就不易出錯,出錯也很方便排錯,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/281412.html
標籤:其他