需求目的:能正確熟練的掌握firewalld防火墻的配置
創(chuàng)新互聯(lián)公司公司2013年成立,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目做網(wǎng)站、網(wǎng)站設(shè)計(jì)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元靖遠(yuǎn)做網(wǎng)站,已為上家服務(wù),為靖遠(yuǎn)各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575 能有什么樣的效果:能在實(shí)際生產(chǎn)過程中熟練的配置防火墻策略,靈活運(yùn)用于各種實(shí)際的生產(chǎn)環(huán)境。
理論知識(shí)點(diǎn)的描述:1.rhel7默認(rèn)使用firewalld作為防火墻,管理工具是firewall-cmd,是包過濾機(jī)制,底層的調(diào)用命令仍然是iptables。
2.rhel7中有幾種防火墻共存:firewall,iptables,ebtables,因?yàn)檫@幾種daemon是沖突的,所以建議禁用其他幾種服務(wù)。(systemctl mask iptables ipohtables ebtables)
3.firewaal提供來支持網(wǎng)絡(luò)/防火墻區(qū)域定義網(wǎng)絡(luò)連接以及接口安全等級(jí)的防火墻管理,擁有運(yùn)行時(shí)配置和永久配置選項(xiàng)。它也能支持允許2服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。
4.firewall daemon動(dòng)態(tài)管理防火墻,不需要重啟整個(gè)防火墻便可應(yīng)用更改。網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí),數(shù)據(jù)包要進(jìn)入內(nèi)核必須要通過這些zone的一個(gè),而不同的zone里定義調(diào)度規(guī)則不一樣。
拓?fù)鋱D:
預(yù)定義的服務(wù):服務(wù)是端口或協(xié)議人口的組合
端口和協(xié)議:定義的tcp或udp端口,端口可以是一個(gè)端口或端口范圍
icmp阻塞:可以選擇internet控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)。
偽裝:是有網(wǎng)絡(luò)地址可以被映射到公開的ip地址,這是一次正規(guī)的地址轉(zhuǎn)換
端口轉(zhuǎn)發(fā):端口可以映射到另一個(gè)端口以及或者其他主機(jī)。
一:系統(tǒng)自定義的區(qū)域(默認(rèn)有九個(gè)區(qū)域,而且都會(huì)有特別的含義)
在進(jìn)行firewalld配置之前,我想來討論一下區(qū)域(zones)這個(gè)概念。默認(rèn)情況就有一些有效的區(qū)域。由firewalld 提供的區(qū)域按照從不信任到信任的順序排序。
丟棄區(qū)域(Drop Zone):如果使用丟棄區(qū)域,任何進(jìn)入的數(shù)據(jù)包將被丟棄。這個(gè)類似與我們之前使用iptables -j drop。使用丟棄規(guī)則意味著將不存在響應(yīng)。
阻塞區(qū)域(Block Zone):阻塞區(qū)域會(huì)拒絕進(jìn)入的網(wǎng)絡(luò)連接,返回icmp-host-prohibited,只有服務(wù)器已經(jīng)建立的連接會(huì)被通過即只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。
公共區(qū)域(Public Zone):只接受那些被選中的連接,默認(rèn)只允許 ssh 和 dhcpv6-client。這個(gè) zone 是缺省 zone
外部區(qū)域(External Zone):這個(gè)區(qū)域相當(dāng)于路由器的啟用偽裝(masquerading)選項(xiàng)。只有指定的連接會(huì)被接受,即ssh,而其它的連接將被丟棄或者不被接受。
隔離區(qū)域(DMZ Zone):如果想要只允許給部分服務(wù)能被外部訪問,可以在DMZ區(qū)域中定義。它也擁有只通過被選中連接的特性,即ssh。
工作區(qū)域(Work Zone):在這個(gè)區(qū)域,我們只能定義內(nèi)部網(wǎng)絡(luò)。比如私有網(wǎng)絡(luò)通信才被允許,只允許ssh,ipp-client和 dhcpv6-client。
家庭區(qū)域(Home Zone):這個(gè)區(qū)域?qū)iT用于家庭環(huán)境。它同樣只允許被選中的連接,即ssh,ipp-client,mdns,samba-client和 dhcpv6-client。
內(nèi)部區(qū)域(Internal Zone):這個(gè)區(qū)域和工作區(qū)域(Work Zone)類似,只有通過被選中的連接,和home區(qū)域一樣。
信任區(qū)域(Trusted Zone):信任區(qū)域允許所有網(wǎng)絡(luò)通信通過。
記住:因?yàn)閠rusted是最被信任的,即使沒有設(shè)置任何的服務(wù),那么也是被允許的,因?yàn)閠rusted是允許所有連接的
二:Firewalld的原則
如果一個(gè)客戶端訪問服務(wù)器,服務(wù)器根據(jù)以下原則決定使用哪個(gè) zone 的策略去匹配
(1)如果一個(gè)客戶端數(shù)據(jù)包的源 IP 地址匹配 zone 的 sources,那么該 zone 的規(guī)則就適
用這個(gè)客戶端;一個(gè)源只能屬于一個(gè)zone,不能同時(shí)屬于多個(gè)zone。
(2)如果一個(gè)客戶端數(shù)據(jù)包進(jìn)入服務(wù)器的某一個(gè)接口(如eth0)區(qū)配zone的interfaces,
則么該 zone 的規(guī)則就適用這個(gè)客戶端;一個(gè)接口只能屬于一個(gè)zone,不能同時(shí)屬于多個(gè)zone。
(3)如果上述兩個(gè)原則都不滿足,那么缺省的 zone 將被應(yīng)用
三:應(yīng)用
獲取firewall的狀態(tài)
不改變狀態(tài)下重新加載防火墻
獲取支持的區(qū)域列表
獲取支持的區(qū)域列表
進(jìn)入目錄能列出有效的服務(wù)
獲取所有支持的icmp類型
列出全部啟用的區(qū)域的特性
輸出區(qū)域全部啟用的特性
輸出指定區(qū)域啟動(dòng)的特性
查看默認(rèn)區(qū)域
設(shè)置默認(rèn)區(qū)域
獲取活動(dòng)區(qū)域
根據(jù)接口獲取區(qū)域即需要查看哪個(gè)區(qū)域和這個(gè)接口綁定即是查看某個(gè)接口是屬于哪個(gè)區(qū)域的
將接口增加到區(qū)域
修接口所屬區(qū)域
從區(qū)域中刪除一個(gè)接口(firewall-cmd [--zone] --remove-interface=接口名)
查詢區(qū)域中是否包含某接口
列舉區(qū)域中啟動(dòng)的服務(wù)
查看home區(qū)域中啟用服務(wù)
啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接,防止出現(xiàn)緊急情況
禁用應(yīng)急模式:firewall-cmd --panic-off
查詢應(yīng)急模式:firewall-cmd --query-panic
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。
網(wǎng)頁標(biāo)題:firewalld防火墻-創(chuàng)新互聯(lián)
本文地址:http://www.rwnh.cn/article18/hcodp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、標(biāo)簽優(yōu)化、搜索引擎優(yōu)化、微信公眾號(hào)、域名注冊(cè)、Google
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容