配置Linux服务器和Cisco ASA的防火墙策略
网络拓扑图
a) 打开所有服务器的防火墙
Ubuntu 20.04开启防火墙
ufw enable
b) 所有设备上的防火墙规则必须配置为最小权限,仅允许所需的流量发送到目标设备上
LOG服务器
ufw allow 8000/tcp ##Splunk web端管理端口
ufw allow 8089/tcp ##Splunkforwarder 转发器管理连接端口
ufw allow 8090/udp ##提供远程日志服务的端口
ufw reload ##重启防火墙
WWW服务器
ufw allow 80/tcp ##web服务
ufw reload
FTP服务器
ufw allow 21/tcp ##ftp连接端口
ufw allow 20/tcp ##ftp数据传输模式为主动模式开放的端口
ufw allow 50000:50100/tcp ##ftp数据传输模式为被动模式开放的端口范围,与/etc/vsftpd.conf定义的范围对应
ufw reload
FW
首先WWW和FTP服务器做端口映射
FW(config)# object network network-WWW
FW(config-network-object)# host 172.16.20.2
FW(config-network-object)# nat (dmz,outside) static interface service tcp www www ##172.16.20.2:80映射为202.100.1.254:80
FW(config)# object network network-FTP
FW(config-network-object)# host 172.16.20.1
FW(config-network-object)# nat (dmz,outside) static interface service tcp ftp ftp ##172.16.20.1:21映射为202.100.1.254:21
验证
进行流量控制,允许外网访问WWW服务器和FTP服务器
FW(config)#access-list outside_to_dmzserver extended permit tcp any host 172.16.20.2 eq www
FW(config)#access-list outside_to_dmzserver extended permit tcp any host 172.16.20.1 eq ftp
FW(config)#access-group outside_to_dmzserver in interface outside
验证:使用Staff访问WEB服务器和FTP服务器
