AI 助理
备案控制台
开发者社区 安全 文章 正文

工作中常用到的Linux系统firewall防火墙策略

2023-06-07 243
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
简介: 工作中常用到的Linux系统firewall防火墙策略

一,防火墙介绍

      firewall简介:firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。


       防火墙技术分为三类:包过滤,应用代理,状态检测


       Linux的防火墙主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙。


       在CentOS7系统中几种防火墙共存,firewalld,iptables,ebtables,默认使用firewalld来管理netfilter子系统,本博客重点讲firewalld


netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于‘内核态’(内核空间)的防火墙功能体系


firewalld:指用于管理Linux防火墙的命令程序,属于“用户态”(用户空间)的防火墙管理体系


firewalld网络区域:


       firewalld将所有的网络数据流量划分为多个区域,从而简化防护墙管理。根据数据包的源IP地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则,对于进入系统的数据包,首先检查的就是其源地址。

image.png

firewalld防火墙的配置方法:

       firewall-config图形化工具

       firewall-cmd命令行工具

       /etc/firewalld/中的配置文件

二,firewall-cmd命令

1.系统firewall服务

启动,暂停,查看firewall服务

systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld
#查看firewall状态 或
firewall-cmd --state

2.禁用firewalld

1. systemctl stop firewalld
2. systemctl disable firewalld

3.获取预定义信息

1. #显示预定义的区域
2. firewall-cmd --get-zones
3. #显示预定义的服务
4. firewall-cmd --get-service
5. #显示预定义的ICMP类型
6. firewall-cmd --get-icmptypes

三,区域管理

1.显示当前系统中的默认区域

firewall-cmd --get-default-zone

2.显示默认区域的所有规则

firewall-cmd --list-all

3.显示网络接口ens33对应区域

firewall-cmd --get-zone-of-interface=ens33

4.将网络接口ens33对应区域更改为internal区域

firewall-cmd --zone=public --change-interface=ens33
firewall-cmd --zone=internal --list-interfaces
firewall-cmd --get-zone-of-interface=ens33

5.显示所有激活区域

firewall-cmd --get-active-zones

四,服务管理

1.为默认区域设置允许访问的服务

#显示默认区域内允许访问的所有服务
firewall-cmd --list-services
#设置默认区域允许访问http服务
firewall-cmd --add-service=http
#设置默认区域允许访问https服务
firewall-cmd --add-service=https

2.为internal区域设置允许访问的服务

#设置internal区域允许访问mysql服务
firewall-cmd --zone=internal --add-service=mysql
#设置internal区域不允许访问samba-client服务
firewall-cmd --zone=internal --remove-service=samba-client
#显示insernal区域内允许访问的所有服务
firewall-cmd --zone=internal --list-services

五,端口管理

1.在internal区域打开443/TCP端口

firewall-cmd --zone=internal --add-port=443/tcp

2.实现在internal区域禁止443/TCP端口访问 

firewall-cmd --zone=internal --remove-port=443/tcp

后续会详细更新,感谢大家的支持

文章标签:
云防火墙
Linux
网络安全
网络协议
安全
关键词:
Linux系统
云防火墙系统
Linux策略
系统云防火墙
linux云防火墙
征服Bug
目录
相关文章
岫珩
|
4月前
|
Kubernetes Ubuntu 网络安全
Ubuntu系统关闭防火墙的正确方式
Ubuntu系统关闭防火墙的正确方式
岫珩
695 2
sysin
|
27天前
|
网络协议 网络安全 虚拟化
Sophos Firewall (SFOS) v21.5 MR1 发布 - 下一代防火墙
Sophos Firewall (SFOS) v21.5 MR1 发布 - 下一代防火墙
sysin
80 0
sysin
|
安全 网络安全 KVM
Cisco Secure Firewall Threat Defense Virtual 7.7.10 发布 - 思科下一代防火墙虚拟设备 (FTDv)
Cisco Secure Firewall Threat Defense Virtual 7.7.10 发布 - 思科下一代防火墙虚拟设备 (FTDv)
sysin
68 0
sysin
|
存储 安全 网络安全
Cisco Secure Firewall Management Center 7.7.10 发布 - 思科防火墙管理中心 (FMC)
Cisco Secure Firewall Management Center 7.7.10 - 思科防火墙管理中心 (FMC)
sysin
72 0
sysin
|
安全 网络安全 网络虚拟化
Cisco Secure Firewall 4200 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
Cisco Secure Firewall 4200 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
sysin
40 0
sysin
|
编解码 安全 网络安全
Cisco Firepower 9300 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
Cisco Firepower 9300 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
sysin
44 0
蓝易云
|
4月前
|
监控 安全 Linux
在Linux中设定账户密码的安全性策略
这些操作应该由有经验的系统管理员进行,因为不当的配置可能导致无法预期的安全问题或者系统访问问题。此外,提升安全性的同时,也需要考虑到用户的便利性,避免设置过于严苛的政策导致用户体验不佳。通常,强密码策略配合两因素认证(2FA)将大大加强账户的安全性。
蓝易云
301 13
sysin
|
5月前
|
网络协议 安全 网络安全
Sophos Firewall (SFOS) v21.5 GA - 下一代防火墙
Sophos Firewall (SFOS) v21.5 GA - 下一代防火墙
sysin
177 1
sysin
|
9月前
|
安全 网络协议 网络安全
Sophos Firewall (SFOS) v21 MR1 发布 - 下一代防火墙
Sophos Firewall v21 MR1 是一款下一代防火墙,提供自动响应威胁、强大防护性能和随时随地办公的安全保障。新版本增强了 SSL VPN、IPsec VPN、NAT64、DHCP 和蜂窝 WAN 功能,并支持 SD-RED 远程诊断。适用于硬件设备、软件和虚拟环境。下载链接:https://sysin.org/blog/sfos-21/;。
sysin
191 0
运维有小邓
|
11月前
|
监控 安全 Linux
启用Linux防火墙日志记录和分析功能
为iptables启用日志记录对于监控进出流量至关重要
运维有小邓
324 1

热门文章

最新文章

  • 1
    Sophos Firewall (SFOS) v21.5 MR1 发布 - 下一代防火墙
  • 2
    VMware Workstation Pro 25H2 for Windows & Linux - 领先的免费桌面虚拟化软件
  • 3
    盘古栈云,创建带ssh服务的linux容器
  • 4
    Binary Ninja 5.1.8104 (macOS, Linux, Windows) - 反编译器、反汇编器、调试器和二进制分析平台
  • 5
    Linux卡在emergency mode怎么办?xfs_repair 命令轻松解决
  • 6
    VMware Workstation Pro 25H2 Unlocker & OEM BIOS 2.7 - 在 Windows 和 Linux 上运行 macOS Tahoe
  • 7
    每日一个计算机小知识:Linux
  • 8
    VMware Workstation Pro 25H2 macOS Unlocker & OEM BIOS 2.7 for Linux
  • 9
    Linux 目录名称
  • 10
    Linux下安装Kafka 3.9.1
  • 1
    Nexpose 8.25.0 for Linux & Windows - 漏洞扫描
    53
  • 2
    VMware Remote Console 13.0.1 for macOS, Linux, Windows - vSphere 虚拟机控制台的桌面客户端
    148
  • 3
    Linux环境下使用Buildroot配置软件包
    82
  • 4
    Nexpose 8.24.0 for Linux & Windows - 漏洞扫描
    73
  • 5
    Metasploit Pro 4.22.8-20251014 (Linux, Windows) - 专业渗透测试框架
    78
  • 6
    每日一个计算机小知识:Linux
    191
  • 7
    Linux下安装Kafka 3.9.1
    159
  • 8
    Nessus Professional 10.10 Auto Installer for RHEL 10, AlmaLinux 10, Rocky Linux 10 - Nessus 自动化安装程序
    87
  • 9
    Metasploit Framework 6.4.95 (macOS, Linux, Windows) - 开源渗透测试框架
    138
  • 10
    VMware Workstation Pro 25H2 macOS Unlocker & OEM BIOS 2.7 for Linux
    200

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux MySQL服务器搭建与应用
  • Linux服务器运维基本操作
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    一文了解:阿里云对象存储OSS是什么?