使用防火墙生成器管理多个服务器的单个防火墙策略
作者:Mike Horn <mike [at] netcitadel [dot] com>
http://www.fwbuilder.org
防火墙构建器是防火墙配置和管理GUI,支持从单个应用程序配置各种防火墙。 支持的防火墙包括Linux iptables,BSD pf,Cisco ASA / PIX,Cisco路由器访问列表等等。 支持的平台的完整列表以及可下载的二进制软件包和软件代码可以在http://www.fwbuilder.org找到。
在本教程中,我们将介绍如何使用Firewall Builder集群来管理部署在多台服务器上的单一防火墙策略。 您可以使用此示例的一个示例将是为所有提供相同服务并应具有相同规则的Web服务器集合管理共享防火墙策略 。
通常,集群功能用于创建高可用性防火墙对,但在这种情况下,我们将创造性地使用它来创建在多个服务器上部署的“主”防火墙策略。 这允许您使用“主”防火墙策略创建集群对象,然后将服务器作为成员添加到此集群,从而继承主防火墙策略。
对于本教程,我们将使用下面显示的Web场示例。 该示例从运行Linux的两台服务器开始,iptables应该具有相同的防火墙策略。 我们将介绍如何创建防火墙,集群和分配规则。 最后,我们将在集群中添加第三台服务器。
虽然我们在这个例子中使用的是少量的服务器,但我们使用的技术可以扩展到管理数百个或更多服务器的常见防火墙策略。
在这些服务器上,我们要实现以下基本的防火墙规则。
- 允许系统通信到自己的回送接口
- 允许入站HTTP和HTTPS从任何地方到服务器
- 允许来自特定信任子网的入站SSH
- 允许与端口8009(jboss)的出站连接到一组应用程序服务器
本教程假设了解基本的Firewall Builder概念和常见操作,例如创建防火墙对象和规则。 您可以在Firewall Builder网站http://www.fwbuilder.org上找到有关Firewall Builder命令的更多信息。
第1步 - 为服务器创建防火墙对象
要创建集群,我们首先需要创建将成为集群成员的防火墙对象。 每个服务器由防火墙构建器中的防火墙对象表示。 通过新建防火墙向导,并创建一个名为web-01的防火墙,并配有两个接口。 第一个接口是将服务器连接到Internet的以太网接口“eth0”,第二个接口是环回接口“lo”。
创建防火墙对象之后,应该在对象树中看起来像这样:
默认情况下,Firewall Builder会将防火墙对象设置为路由(转发)IP数据包。 由于这是一个服务器防火墙,我们应该禁用主机上的IP转发。 通过双击防火墙对象,然后在底部的编辑器面板中单击主机操作系统设置来执行此操作。 将IPv4分组转发的设置更改为关闭。
要为web-02创建第二个防火墙对象,您可以使用防火墙生成器中的复制功能。
- 右键单击web-01防火墙,然后在“库用户”中选择“复制 - >”
- 将新创建的防火墙对象的名称编辑到web-02
- 双击eth0界面下的web-02的IP对象,将IP地址设置为192.0.2.12 / 24
第2步 - 创建一个新的集群
要创建新集群,请右键单击对象树中的“集群”文件夹,然后选择“新建集群”。 这将启动“新建群集”向导。 为集群命名,例如Web服务器,并选择web-01和web-02两者作为集群的成员。 由于我们没有使用故障切换,哪个防火墙设置为主服务器并不重要。
单击下一步>
由于两个服务器都使用eth0作为外部接口,因此可以按照接口映射。 如果您的服务器上具有不同接口名称的服务器,例如,如果一个服务器使用eth0,另一个服务器使用eth1,则可以在此处设置映射。
单击下一步>
使集群接口容易识别更新与接口eth0和lo相关联的标签。 由于我们没有将服务器作为高可用性集群运行,故障转移将故障切换协议设置为无。
确保更新eth0和lo接口。
单击下一步>
我们要为集群创建新规则,因此将集群规则的源设置为“不要使用任何,我将创建新的策略和NAT规则”。
单击完成
完成后,您应该在树中看到如下所示的新集群对象:
