一、配置实例:

(一)实验环境说明:

(1)一台内部测试机;一台外部测试机;网站服务器为DMZ区域;
(2)网关服务器作为防火墙,并具备路由转发功能;
(3)外部测试机和DMZ区域的服务器都搭建一个web服务;
(4)准备四台虚拟机(我的是centos7);
(5)整个实验环境,都在局域网下进行,所有网卡设置成仅主机模式

FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器


FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_02

其中,centos7-3和centos7-4,这两台虚拟机需要安装 httpd服务。

(二)实验步骤:

(1)第一步:首先进入centos7-3,和centos7-4,在有网的情况下,安装 httpd服务
命令:yum install httpd -y

(2)第二步:进入centos7-2,再加两块网卡,总共三块网卡

FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器_03

(3)第三步:给三块网卡各配上静态ip地址,配好之后用命令: systemctl restart network ,重启一下服务。

ens33:100.1.1.10

ens36:192.168.10.1

ens37:192.168.20.1

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_04


在 /etc/sysctl.conf 文件后加上net.ipv4.ip_forward=1,开启路由转发功能,并用命令,sysctl -p 让其生效。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_05


(4)第四步:现在打开centos7-1,配静态ip地址192.168.10.10

FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_06


FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器_07


到10网段的网关也是可以ping通的。

FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_08

(5)第五步:进入DMZ区域的centos7-3,进行相关配置

1、修改网卡信息,配置静态IP地址为:192.168.20.20

FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_09


2、测试到网关是否互通

FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_10


(6)第六步:来到centos7-4,修改配置信息1、更改网卡,配置静态IP地址为:100.1.1.20

FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_11


2、测试到网关100.1.1.10是否能通

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_12

(7)第七步:待所有环境都配置好之后,我们查看测试服务器能否访问内部和DMZ区域。

1、开启httpd服务,并在/var/www/html 目录下,创建一个index.html,写一段话,作为后面测试用。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_13


FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_14


2、更改防火墙设置

首先设置dmz区域,并且添加http服务,删除ssh服务,阻止icmp协议。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_15

(8)第八步:开启外部区域的 httpd服务,和之前一样,创建一下小网页,作为测试用。

FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_16


FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_17

(9)第九步:首先在dmz和外部区域,先检查一下,本地的网页是否能够打开

FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器_18


FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_19

(10)第十步:由于防火墙还没有设置,所以我们可以看到在内部区域,访问这两个网页是无法连接的状态。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_20


(11)第十一步:我们回到centos7-2,开始配置防火墙设置:配置外部区域,ens36网卡为信任区域,ens37网卡为dmz区域,删除ssh访问,添加http服务,阻止icmp协议,最后重启防火墙。

FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器_21

(12)第十二步:我们再回到内部测试机centos7-1,试一下访问外部的网页还能否成功。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_22


FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_23


同时,我们在外部区域的centos7-4中,也可以在access _ log 日志中看到谁开访问过了,同时防火墙也给来访地址做了伪装,显示的是网关访问。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_24


FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_25


同时,由于地址伪装的原因,外部区域也是无法访问到具体的私网地址。

FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_26


而且访问100.1.1.10网关的时候,也是显示的是无法连接,因为这个数据过来的时候,由于没有做端口映射,不知道该转发给内部区域还是dmz区域。

FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_27

(二)、如何做端口映射

(1)只需要在防火墙上设置一条命令即可:

firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=192.168.20.20 --permanent 
//指定外部区域,为80端口,并为tcp协议,指定ip地址192.168.20.20

FortiGate防火墙zabbix监控模板下载 防火墙实例_服务器_28

(2)设置完成后,我们在回到外部区域的centos7-4主机上,看能否访问成功

FortiGate防火墙zabbix监控模板下载 防火墙实例_ip地址_29

(3)由于做了icmp协议的阻塞,内部区域的centos7-1 也是无法与dmz区域的主机相互通,但是访问网站是可以的。

FortiGate防火墙zabbix监控模板下载 防火墙实例_防火墙高级配置实例_30


FortiGate防火墙zabbix监控模板下载 防火墙实例_centos_31