配置防火墻與NAT服務器項目11任務描述

11.1任務分析

11.2知識儲備11.3任務實施11.4拓展訓練11.5總結提高11.61知識目標3素質目標2技能目標了解防火墻的基本概念及工作原理了解netfilter/iptables的架構掌握iptables和firewall-cmd的命令格式掌握防火墻的配置方法掌握NAT的配置方法會檢查并安裝iptables軟件包會啟動和停止iptables和firewalld服務能使用iptables和firewall-cmd配置防火墻能配置與管理NAT能解決防火墻配置中出現的問題養認真細致的工作態度和工作作風養成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定的自學能力，分析問題、解決問題能力和創新能力本項目詳細介紹防火墻的基本概念、工作原理、iptables的安裝與配置及管理防火墻的具體方法。通過任務案例引導大家檢查并安裝iptables；全面分析iptables命令和firewall-cmd命令的使用方法；具體訓練大家利用iptables和firewall-cmd配置與管理防火墻的技能以及配置與管理NAT的技能。學習目標11.1任務描述在天易教育培訓中心的局域網中包含多個子網，這些子網都需要接入互聯網。因此，需要保障內網與外網之間的數據通信流暢，及時發現并處理局域網運行時出現的安全風險。既要阻止內網資源不被外部非授權用戶非法訪問或破壞，又要阻止內部用戶對外部不良資源的濫用，還要對發生在網絡中的安全事件進行跟蹤和審計。此時，需要在局域網中進行哪些配置才能為天易教育培訓中心解決上述問題呢？曹杰憑借所學的知識和工程項目的經驗，經過認真的分析認為：要滿足以上要求，一是需要配置NAT實現內網與外網之間的通信；二是配置防火墻來保證網絡通信中的數據傳輸安全。防火墻是一個由軟件和硬件設備組合而成，在內部網和外部網之間、專用網與公共網之間構造的保護屏障，是一種獲取網絡安全的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。11.2任務分析1、什么是防火墻2、什么是非軍事化區（DMZ）DMZ（DemilitarizedZone，非軍事化區，也稱為隔離區）是為了解決安裝防火墻后，外部網絡不能訪問內部網絡服務器的問題而設立的一個非安全系統與安全系統之間的緩沖區。DMZ可以理解為一個不同于外網或內網的特殊網絡區域，DMZ內通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。這樣，來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人信息等，即使DMZ中服務器受到破壞，也不會對內網中的機密信息造成影響。NAT是一個IETF（InternetEngineeringTaskForce,Internet工程任務組）標準，允許一個整體機構以一個公用IP地址出現在Internet上。顧名思義，它是通過將專用網絡地址轉換為公用地址，從而對外隱藏了內部管理的IP地址。11.2任務分析3、什么是網絡地址轉換（NAT）4、包過濾器的操作流程如何包過濾操作的流程如圖11-2所示，幾乎現有的包過濾器都遵循此流程。本項目的具體任務包括安裝iptables、配置iptables防火墻和firewalld防火墻、使用iptables和firewall-cmd實現NAT等幾個方面，具體任務如下。1）安裝iptables：包括分析防火墻工作原理、安裝iptables。2）配置防火墻：包括分析iptables和firewalld、配置包過濾防火墻、企業配置案例。3）使用iptables和firewall-cmd實現NAT：包括啟動防火墻服務、配置防火墻的服務器、配置防火墻客戶端、測試防火墻服務。11.2任務分析5、本項目的具體任務有哪些?11.3知識儲備防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合，是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。防火墻是提供信息安全服務，實現網絡和信息安全的基礎設施。防火墻作為一種網絡或系統之間強制實行訪問控制的機制，是確保網絡安全的重要手段。針對不同的需求和應用環境，可以量身定制出不同的防火墻系統。在眾多網絡防火墻產品中，Linux操作系統上的防火墻軟件特點顯著。首先是Linux操作系統作為一個類UNIX網絡操作系統，在系統的穩定性、健壯性及價格的低廉性方面都獨具優勢。11.3.1防火墻概述Internet中一個十分重要的資源就是軟件資源，而各種各樣的軟件資源大多數都放在FTP服務器中。用戶使用文件傳輸協議（FTP）通過網絡在計算機之間傳輸文件是很普遍的一種方法。幾乎在所有的平臺上面都有FTP的客戶端和服務器端的軟件，因此用FTP來傳送文件也是很方便的一種方法。

11.3知識儲備11.3.2防火墻的類型和工作原理

1、按防火墻的組成結構分目前普遍應用的防火墻按組成結構可分為軟件防火墻、硬件防火墻和芯片級防火墻三種。（1）軟件防火墻軟件防火墻是一種寄生在操作系統平臺的防火墻，它是通過純軟件的的方式實現隔離內外部網絡的目的的。軟件防火墻在遇到密集的DOS攻擊的時候，它所能承受的攻擊強度遠遠低于硬件防火墻。如果所在的網絡環境中，攻擊頻度不是很高，用軟件防火墻就能滿足要求了。（2）硬件防火墻硬件防火墻是一種嵌入式系統，它是通過硬件和軟件的組合來達到隔離內外部網絡的目的的。硬件防火墻采用專用的硬件設備，然后集成生產廠商的專用防火墻軟件。從功能上看，硬件防火墻內建安全軟件，使用專屬或強化的操作系統，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達到線性。（3）芯片級防火墻芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。11.3知識儲備11.3.2防火墻的類型和工作原理

2、按防火墻的實現技術分防火墻的實現技術雖然許多，但總體來講可分為包過濾型（也稱分組過濾型）和應用代理型兩大類。防火墻通常使用的安全控制手段主要有包過濾、狀態檢測和代理服務。（1）包過濾防火墻包過濾（PacketFiltering）技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制表（AccessControlTable）。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。包過濾防火墻的工作原理是系統在網絡層檢查數據包，與應用層無關，如圖11-3所示。11.3知識儲備11.3.2防火墻的類型和工作原理

（2）應用代理防火墻應用代理（ApplicationProxy），也稱為應用網關（ApplicationGateway），它是在網絡應用層上建立協議過濾和轉發功能，針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時對數據包進行必要的分析、登記和統計，形成報告。應用代理防火墻是通過打破客戶端/服務器模式實現的。每個客戶端/服務器通信需要兩個連接：一個是從客戶端到防火墻；另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程；或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻的缺點是可伸縮性差。應用代理防火墻工作原理如圖11-4所示。11.3知識儲備11.3.2防火墻的類型和工作原理

（3）狀態檢測防火墻狀態檢測防火墻基本保持了簡單包過濾防火墻的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火墻的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。可以這樣說，狀態檢測防火墻規范了網絡層和傳輸層行為，而應用代理防火墻則是規范了特定的應用協議上的行為。狀態檢測防火墻工作原理如圖11-5所示。11.3知識儲備11.3.2防火墻的類型和工作原理

（4）復合型防火墻復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。復合型防火墻工作原理如圖11-6所示。11.3知識儲備在現有防火墻產品和技術中，將包過濾技術和多種應用技術融合到一起，構成復合型防火墻體系統結構是目前國內防火墻產品的一個特點，也是防火墻今后發展的主流技術。復合型防火墻解決方案通常有如下兩種。1．屏蔽主機防火墻體系結構屏蔽主機防火墻體系結構由包過濾路由器和堡壘主機構成，其實現了網絡層安全（包過濾）和應用層安全（代理服務）。對于這種防火墻系統，堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和Internet之間。在路由器上進行規則配置，使得進出的所有信息必須通過堡壘主機。這種路由允許堡壘主機把外部流量代理到內部網絡前可進行流量分析。由于內部主機與堡壘主機處于同一個網絡，內部系統是否允許直接訪問Internet，或者是要求使用堡壘主機上的代理服務來訪問Internet，由機構的安全策略來決定。對于這種體系結構常見的拓撲如圖11-7所示。在實際的應用中，為了增強安全性，一般堡壘主機應至少有兩個網卡，這樣可以從物理上隔離子網。11.3.3防火墻的構造體系

11.3知識儲備2．屏蔽子網防火墻體系結構屏蔽子網防火墻體系結構是將堡壘機放在一個子網內，形成非軍事化區（DMZ），兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎，如圖11-8所示。這個防火墻系統建立的是最安全的防火墻系統，因為在定義了非軍事化區（DMZ）網絡后，它支持網絡層和應用層安全功能。網絡管理員將堡壘主機、信息服務器、Modem組以及其他公用服務器放在DMZ網絡中。在一般情況下，對DMZ配置成使用Internet和內部網絡系統能夠訪問DMZ網絡上數目有限的系統，而通過DMZ網絡直接進行信息傳輸是嚴格禁止的。11.3.3防火墻的構造體系

11.3知識儲備1．防火墻的默認設置防火墻有以下兩種默認配置：1）拒絕所有的通信。在這種情況下，內外的通信完全被阻斷，是最安全但也最不適用的形式。2）允許所有的通信。在這種情況下，內外可以進行無限制的通信，防火墻好像不存在。對于安全性要求比較高的防火墻，一般采用拒絕所有通信作為默認設置。一旦安裝了防火墻，為了授予防火墻內的用戶訪問他們的被授權的系統，則需要根據公司的安全策略，只打開某些特定的端口以允許特定的內外通信，這就是需要進行相應的訪問規則的配置。訪問規則定義了允許或拒絕網絡之間的通信的條件。訪問規則中運用的元素是防火墻中可用于創建特定訪問規則的配置對象，規則元素一般可分為以下5種類型。3．訪問規則的定義創建訪問規則的步驟是選擇適當的訪問規則元素，然后定義元素之間的關系，如圖11-9所示。11.3.4防火墻的訪問規則

11.3知識儲備在早期的Linux系統中，默認使用iptables防火墻來管理和配置防火墻。RedHatEnterPriseLinux從7.0開始使用firewalld（DynamicFirewallManagerofLinuxsystems，Linux系統的動態防火墻管理器）服務是作為默認的防火墻配置管理工具。其實iptables服務和firewalld服務都不是真正的防火墻，只是用來定義防火墻規則功能的管理工具，將定義好的規則交由內核中的netfilter，從而實現真正的防火墻功能，其調用過程如圖11-9所示。在RHEL8.3中可以讓iptables、firewalld、ip6tables、btables等幾種防火墻共存，需要注意的是，不同的防火墻軟件相互間存在沖突，使用某個防火墻軟件時應禁用其他的防火墻軟件。11.3.5firewalld簡介

11.3知識儲備在RHEL8/CentOS8中可以讓iptables、firewalld、ip6tables、btables等幾種防火墻共存，需要注意的是，不同的防火墻軟件相互間存在沖突，使用某個防火墻軟件時應禁用其它的防火墻軟件。1、firewalld的主要概念firewalld將所有網絡流量劃分為區（zones），簡化防火墻管理。例如一個包傳入網絡接口時，會根據源IP地址把流量轉移到用于相應的區域（zone）的防火墻規則。每個區域(zone)都預設開放的或關閉的端口和服務列表。（1）過濾規則集合：zone11.3.5firewalld簡介區域描述drop（丟棄）任何接收的網絡數據包都被丟棄，沒有任何回復。僅能有發送出去的網絡連接block（限制）任何接收的網絡連接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕public（公共）在公共區域內使用，不能相信網絡內的其他計算機不會對您的計算機造成危害，只能接收經過選取的連接external（外部）特別是為路由器啟用了偽裝功能的外部網。無情ice信任來自網絡的其他計算，不能相信它們不會對您的計算機造成危害，只能接收經過選擇的連接dmz（非軍事區）用于非軍事區內的電腦，此區域內可公開訪問，可以有限地進入內部網絡，僅僅接收經過選擇的連接word（工作）用于工作區。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接home（家庭）用于家庭網絡。您可以基本信任網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接internal（內部）用于內部網絡。您可以基本信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接trusted（信任）可接受所有的網絡連接表11-1常見的zone區域及各區域的主要作用11.3知識儲備（2）service service中可以配置特定的端口（將端口和service的名字關聯）。zone中加入service規則就等效于直接加入了port規則，但是使用service更容易管理和理解。 定義service的方式：添加<service名稱>.xml文件，在其中加入要關聯的端口即可。（3）過濾規則

source：根據數據包源地址過濾，相同的source只能在一個zone中配置。

interface：根據接收數據包的網卡過濾。

service：根據服務名過濾（實際是查找服務關聯的端口，根據端口過濾），一個service可以配置到多個zone中。

port：根據端口過濾。

icmp-block：icmp報文過濾，可按照icmp類型設置。

masquerade：ip地址偽裝，即將接收到的請求的源地址設置為轉發請求網卡的地址（路由器的工作原理）。

forward-port：端口轉發。

rule：自定義規則，與itables配置接近。rule結合--timeout可以實現一些有用的功能，比如可以寫個自動化腳本，發現異常連接時添加一條rule將相應地址drop掉，并使用--timeout設置時間段，過了之后再自動開放。11.3.5firewalld簡介表11-1常見的zone區域及各區域的主要作用11.3知識儲備（4）過濾規則優先級。

source：源地址。

interface：接收請求的網卡。

firewalld.conf中配置的默認zone。11.3.5firewalld簡介表11-1常見的zone區域及各區域的主要作用11.3知識儲備2、firewalld的配置方法（1）運行時配置。 實時生效，并持續至Firewalld重新啟動或重新加載配置。 不中斷現有連接。 不能修改服務配置。（2）永久配置。 不立即生效，除非Firewalld重新啟動或重新加載配置。 中斷現有連接。 可以修改服務配置11.3.5firewalld簡介11.3知識儲備3、配置Firewalld方式

firewall-config：GUI圖形化工具，即使讀者沒有扎實的Linux命令基礎，也完全可以通過它來妥善配置防火墻策略。

firewall-cmd：命令行工具，firewall-cmd：命令行工具，但是讀者使用時需要具備一定的Linux命令基礎，還要掌握firewalld-cmd命令的使用方法。直接編輯xml文件：編輯完xml文件后還需要reload才能生效。不建議直接編輯配置文件，建議使用命令行工具。11.3.5firewalld簡介11.3知識儲備對用戶來說是透明的。NAT通常用于將內部私有的IP地址翻譯成合法的公網IP地址，從而可以使內網中的計算機共享公網IP，節省了IP地址資源。可以這樣說，正是由于NAT技術的出現，才使得IPv4的地址至今還足夠使用。因此，在IPv6廣泛使用前，NAT技術仍然還會廣泛地應用。NAT服務器工作原理如圖11-10所示。11.3.6NAT工作原理11.4任務實施教師演示學生模仿任務案例11-1firewall-cmd是firewalld的字符界面管理工具，因此，配置firewalld防火墻的首要任務就是熟悉firewall-cmd的命令格式，接下來掌握預定義信息、區域管理、服務管理、端口服務管理的命令和參數使用，最后熟悉firewalld服務啟動、停止、查看命令的使用。firewall-cmd支持動態更新技術并加入了“zone區域”的概念，簡單來說就是為用戶預先準備了幾套防火墻策略集合（策略模板），然后用戶可以根據生產場景的不同選擇合適的策略集合，實現了防火墻策略之間的快速切換。11.4.1熟悉firewalld命令11.4任務實施熟悉firewall-cmd命令格式：firewall-cmd命令語法如下：STEP01啟動、停止、查看firewalld服務：在圖11-10中使用firewalld時，先要使用systemctlstatus檢查一下firewalld、iptables、ip6tables和ebtables等幾種防火墻的狀態，然后關閉firewalld以外的防火墻，接下來掌握如何啟動、停止、重啟、查看firewalld防火墻，操作方法如下。STEP0211.4任務實施（1）查看預定義區域#firewall-cmd--get-zones（2）查看預定義服務#firewall-cmd--get-services（3）查看預定義的ICMP類型#firewall-cmd--get-icmptypesSTEP03（1）查看當前系統中的默認區域[root@tianyi~]#firewall-cmd--get-default-zone（2）查看默認區域的所有規則[root@tianyi~]#firewall-cmd--list-all（3）查看本機網絡接口ens33對應區域[root@tianyi~]#firewall-cmd--get-zone-of-interface=ens33（4）將網絡接口ens33對應區域修改為internal區域[root@localhost~]#firewall-cmd--zone=internal--change-interface=ens33[root@localhost~]#firewall-cmd--zone=internal--list-interfaces[root@localhost~]#firewall-cmd--get-zone-of-interface=ens33（5）查看所有激活區域[root@localhost~]#firewall-cmd--get-active-zonesSTEP0411.4任務實施（1）顯示默認區域內允許訪問的所有服務[root@tianyi~]#firewall-cmd--list-services（2）設置默認區域允許訪問http服務[root@tianyi~]#firewall-cmd--add-service=http（3）設置默認區域允許訪問https服務[root@tianyi~]#firewall-cmd--add-service=https（4）再次查看默認區域內允許訪問的所有服務[root@tianyi~]#firewall-cmd--list-services（5）設置internal區域允許訪問mysql服務[root@tianyi~]#firewall-cmd--zone=internal--add-service=mysql（6）設置internal區域不允許訪問samba-client服務[root@tianyi~]#firewall-cmd--zone=internal--remove-service=samba-client（7）查看internal區域內允許訪問的所有服務[root@tianyi~]#firewall-cmd--zone=internal--list-servicesSTEP0511.4任務實施（1）在internal區域打開443/TCP端口[root@tianyi~]#firewall-cmd--zone=internal--add-port=443/tcpsuccess（2）在internal區域禁止443/TCP端口訪問[root@tianyi~]#firewall-cmd--zone=internal--remove-port=443/tcpsuccess（3）啟用internal區域22端口的TCP協議組合[root@tianyi~]#firewall-cmd--zone=internal--add-port=22/tcp--timeout=5msuccess（4）查看internal區域內允許訪問的所有端口號[root@tianyi~]#firewall-cmd--zone=internal--list-ports22/tcpSTEP0611.4任務實施熟悉兩種配置模式：（1）運行時模式（Runtimemode）表示當前內存中運行的防火墻配置，在系統或firewalld服務重啟、停止時配置將失效。（2）永久模式（Permanentmode）表示重啟防火墻或重新加載防火墻時的規則配置，是永久存儲在配置文件中的。【操作示例11-1】設置8888和9999端口請求流量當前生效[root@tianyi~]#firewall-cmd--zone=home--add-port=8888-9999/tcpsuccess[root@tianyi~]#firewall-cmd–reloadsuccess【操作示例11-2】設置https服務請求流量永久生效#firewall-cmd--permanent--zone=home--add-service=httpssuccessSTEP0711.4任務實施教師演示學生模仿任務案例11-2在圖11-10的企業網中，架設一臺Web服務器，IP地址是68，端口是80。然后設置內網網段/24中的客戶機均可以訪問這臺Web服務器。11.4.2

firewalld的配置案例11.4任務實施配置各主機和網卡參數：參考【任務案例11-6】配置好圖11-10中各主機的相關參數，如IP地址、網關和DNS等。STEP01在內網的Web服務器上啟用firewalld防火墻：在內網的Web服務器上啟用firewalld防火墻，并查看配置情況。STEP02在內網的Web服務器上配置dmz區域。STEP03配置Web服務。STEP0411.4任務實施測試Web服務:（1）在Web服務器（本機）上測試Web服務。（2）在局域網的其他主機（如2）上訪問Web服務器STEP05在dmz區域允許http服務流量通過:在dmz區域允許http服務流量通過，并讓其立即生效（且永久有效）。STEP06再次在其他主機上進行測試:在網段/24的其他主機上再次進行訪問網站測試，此時測試成功。STEP0711.4任務實施教師演示學生模仿任務案例11-3在圖11-10的企業內部網絡中部署SNAT和DNAT服務，使得內部網絡的計算機均能訪問互聯網；而互聯網中的用戶只能訪問內部網絡中的Web服務器和FTP服務器。11.4.93

firewalld部署NAT服務企業內部計算機要實現共享上網，就必須部署SNAT；而外部網絡中的計算機要訪問企業內部網絡中的服務器，就必須部署DNAT，接下來的任務就是使用filewalld部署NAT服務。11.4任務實施在NAT網關服務器上開啟防火墻：在圖11-10的NAT服務器上開啟防火墻→將網絡接口ens33移至外部區域（external）→將網絡接口ens38移至內部區域（internal），并確保設置永久生效和立即生效。STEP01在NAT網關服務器上添加masquerading：（1）查看在外網卡所屬的外部區域（external）上是否添加偽裝（masquerading）功能(默認已添加)。（2）如果沒有添加偽裝功能，則需要使用如下命令添加偽裝功能。（3）將source為/24網段來的數據包偽裝成external（即ens33）的地址STEP021.配置SNAT11.4任務實施在NAT網關服務器上開啟IP轉發服務:（1）如果需要臨時開啟內核路由轉發，則按照以下操作方法即可。（2）如果需要內核路由轉發永久生效的話，則需要修改/etc/sysctl.conf，在其中修改net.ipv4.ip_forward=1（3）采用sysctl-p執行，使之馬上生效（4）在內網的客戶機ping網關服務器（NAT）上連接外網網卡的IP，如果能ping通，表示內核路由轉發成功。STEP03在NAT網關服務器上設置默認區域:將NAT服務器內部區域（internal）設置為默認區域→重載防火墻規則，將以上設置的永久狀態信息在當前運行下生效。STEP0411.4任務實施在客戶機中進行測試:（1）將內網中的客戶機的默認網關設置為NAT服務器的內網網卡的IP地址（1），DNS設置成能夠進行域名解析DNS（2）在內網的客戶機中ping外網的服務器（如），如果能ping通，則表明SNAT服務部署成功。STEP0511.4任務實施配置NAT基礎環境：首先按照【任務案例11-10】在NAT服務器中添加網卡并配置好IP、再開啟路由轉發。STEP01配置內網Web服務器：接下來在內部網絡的Web服務器（IP為68）上參考【任務案例11-9】配置好WEB服務。STEP022.配置DNAT在Web服務器上配置firewalld：接下來在內部網絡的Web服務器（IP為68）上配置Web頁面內容為“DNAT部署測試頁面!”。STEP0311.4任務實施在網關服務器上配置DNAT:將流入NAT網關服務器外網卡ens33(0)的80端口的數據包轉發給Web服務器(68)的8080端口。STEP04測試DNAT:最后在外網選擇一臺Windows7或RHEL8/CentOS8的客戶機設置好網關（0）和DNS，再打開瀏覽器，在地址欄中輸入0，此時若能正常訪問內網中的Web服務器，說明DNAT配置正確，如圖11-27所示。STEP0511.4任務實施教師演示學生模仿任務案例11-4前面已經熟悉了在企業內部網絡的firewalld防火墻中使用firewall-cmd命令方式配置firewalld防火墻。接下來請使用圖形化工具管理firewalld防火墻的相關策略。11.4.4使用firewalld防火墻策略的圖形化工具irewall-config命令是管理firewalld防火墻策略的圖形化工具，其界面友好、操作方便，通過firewall-config圖形化配置工具，可以實現配置防火墻允許通過的服務、端口、偽裝、端口轉發、ICMP過濾器等，幾乎所有命令行終端的操作都可以實現。11.4任務實施安裝firewalld防火墻策略的圖形化工具：在RHEL8/CentOS8中，默認情況沒有安裝firewalld防火墻策略的圖形化工具，因此，需要使用yum方式進行安裝，操作方法如下STEP01熟悉firewalld防火墻圖形化工作界面：當在命令行執行“firewall-config”命令即可啟動firewalld防火墻圖形化配置主界面，如圖11-28所示。[root@tianyi~]#firewall-config//執行“firewall-config”命令firewalld防火墻圖形化配置主界面包括主菜單、配置選項卡、區域設置區和狀態欄4個部分。STEP0211.4任務實施設置允許其他主機訪問本機的http服務：在“活動的綁定”區域中，選擇網絡適配器【ens33】→在“配置”下拉列表中選擇【運行時】→單擊“區域”選項卡，在列表框中選擇需要更改設定的區域【public】→單擊“服務”標簽，在列表框中勾選【http】，如圖11-29所示。STEP0311.4任務實施再添加一條允許8080-8090端口號入站請求數據策略：在“活動的綁定”區域中，選擇網絡適配器【ens33】→在“配置”下拉列表中選擇【永久】→單擊“區域”選項卡，在列表框中選擇需要更改設定的區域【public】→單擊“端口”標簽，單擊【添加】按鈕，打開“端口和協議”窗口，如圖11-30所示。在“端口/端口范圍”文本框中輸入“8080-8090”，單擊“確定”按鈕完成設置，返回防火墻配置窗口。最后在菜單中單擊“選項”菜單，接下來選擇“重載防火墻”命令，如圖11-31所示。。STEP0411.4任務實施過濾“echo-reply”的ICMP協議報文數據包：在在“活動的綁定”區域中，選擇網絡適配器【ens33】→在“配置”下拉列表中選擇【運行時】→單擊“區域”選項卡，在列表框中選擇需要更改設定的區域【public】→單擊“ICMP過濾器”標簽，在“ICMP類型”