中小型企业级防火墙部署

Qftm 2020-01-01 我要评论

防火墙

防火墙是由软件和硬件组成的系统，它处于安全的网络(通常是内部局域网)和不安全的网络(通常是Internet，但不局限于Internet)之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。
由于防火墙置于两个网络之间，因此从一个网络到另一个网络的所有数据流都要流经防火墙。根据安全策略，防火墙对数据流的处理方式有3种:

（1）允许数据流通过；
（2）拒绝数据流通过；
（3）将这些数据流丢弃。

当数据流被拒绝时，防火墙要向发送者回复一条消息，提示发送者该数据流已被拒绝。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。丢弃数据包的做法加长了网络扫描所花费的时间，发送者只能等待回应直至通信超时。
防火墙是Internet安全的最基本组成部分。但是，我们必须要牢记，仅采用防火墙并不能给整个网络提供全局的安全性。对于防御内部的攻击，防火墙显得无能为力，同祥对于那些绕过防火墙的连接(如某些人通过拨号上网)，防火墙则毫无用武之地。

IPTABLES

iptables简介

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

iptables基础

规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables和netfilter的关系

这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

iptables传输数据包的过程

（1）当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。 
（2）如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。 
（3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

iptables的规则表和链

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。
链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。
Iptables采用“表”和“链”的分层结构。在REHL4中是三张表五个链。现在REHL5成了四张表五个链了，不过多出来的那个表用的也不太多，所以基本还是和以前一样。下面罗列一下这四张表和五个链。注意一定要明白这些表和链的关系及作用

规则表

1.filter表——三个链：INPUT、FORWARD、OUTPUT
作用：过滤数据包  内核模块：iptables_filter.
2.Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
3.Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
4.Raw表——两个链：OUTPUT、PREROUTING

作用：决定数据包是否被状态跟踪机制处理内核模块：iptable_raw

规则链

1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则 （所有的数据包进来的时侯都先由这个链处理）
5.POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

iptables命令参数

-A  在指定链的末尾添加（append）一条新的规则
-D  删除（delete）指定链中的某一条规则，可以按规则序号和内容删除
-I  在指定链中插入（insert）一条新的规则，默认在第一行添加
-R  修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换
-L  列出（list）指定链中所有的规则进行查看
-E  重命名用户定义的链，不改变链本身
-F  清空（flush）
-N  新建（new-chain）一条用户自己定义的规则链
-X  删除指定表中用户自定义的规则链（delete-chain）
-P  设置指定链的默认策略（policy）
-Z  将所有表的所有链的字节和数据包计数器清零
-n  使用数字形式（numeric）显示输出结果
-v  查看规则表详细信息（verbose）的信息
-V  查看版本(version)
-h  获取帮助（help）

环境搭建

企业拓扑

环境准备

DMZ区：CentOS7 --- IP:192.168.9.100 Gateway:192.168.9.254
防火墙：kali --- ip1:211.67.93.254；ip2:192.168.9.254；ip3:192.168.33.254；
外网主机：win2003 --- IP:211.67.93.100  Gateway:211.67.93.254
内网主机：win2003 --- IP:192.168.33.100 Gateway:192.168.33.254

环境部署

Firewalld路由模式

在防火墙(kali)上设置转发功能

→ Qftm ← :~# vim /etc/sysctl.conf

Firewalld初始化策略

Firewalld默认策略

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

Firewalld安全策略

允许内网主机访问外网，但不允许外网访问内网主机

允许内网访问外网动态NAT 自动封装改变源IP

iptables -t nat -A POSTROUTING -s 192.168.9.0/24 -o eth1 -j MASQUERADE

限制外网访问内网（限制新连接，旧链接是内网访问外网返回回来的数据）

iptables -t filter -A FORWARD -i eth1 -o eth3 -m state --state NEW -j DROP

测试

内网ping外网，能ping通

外网ping内网ping不通

外网不能直接访问DMZ，允许外网通过公网IP访问DMZ区域中Web服务

不允许外网直接访问DMZ区

iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP

使用DNAT通过访问公网IP访问DMZ中web服务器

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

允许外网通过公网IP SSH DMZ区域web服务器进行远程管理

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100

远程SSH

允许外网通过公网IP ping DMZ区域主机

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

Ping测试

允许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不允许访问内网主机

允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

访问测试

不允许DMZ区直接访问内网

避免当侵略者攻陷DMZ时，进一步攻到内测

iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP

Firewalld集成策略

#!/bin/bash
:<<EOF
title: Firewalld集成策略
date: 2020/01/01
author: Qftm
EOF
#初始化策略
iptables -F
iptables -t nat -F
iptables -X

#设置链路的默认策略
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

##允许内网主机访问外网，但不允许外网访问内网主机 
#允许内网访问外网 动态NAT 自动封装改变源IP
iptables -t nat -A POSTROUTING -s 192.33.3.0/24 -o eth1 -j MASQUERADE
#限制外网访问内网（限制新连接，旧链接是内网访问外网返回回来的数据）
iptables -t filter -A FORWARD -i eth1 -o eth2 -m state --state NEW -j DROP

##外网不能直接访问DMZ，允许外网通过公网IP访问DMZ区域中Web服务 
#不允许外网直接访问DMZ区
iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP
#使用DNAT通过访问公网IP访问DMZ中web服务器
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#允许外网通过公网IP SSH DMZ区域web服务器进行远程管理
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100
#允许外网通过公网IP ping DMZ区域主机
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

##允许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不允许访问内网主机 
#允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
#不允许DMZ区直接访问内网
iptables -t filter -A FORWARD -i eth2 -o eth3 -m state --state NEW -j DROP