firewalld防火墻-創(chuàng)新互聯(lián)

  需求目的：能正確熟練的掌握firewalld防火墻的配置

創(chuàng)新互聯(lián)公司公司2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目做網(wǎng)站、網(wǎng)站設(shè)計網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元靖遠(yuǎn)做網(wǎng)站,已為上家服務(wù),為靖遠(yuǎn)各地企業(yè)和個人服務(wù),聯(lián)系電話:18980820575

        能有什么樣的效果：能在實(shí)際生產(chǎn)過程中熟練的配置防火墻策略，靈活運(yùn)用于各種實(shí)際的生產(chǎn)環(huán)境。

        理論知識點(diǎn)的描述：1.rhel7默認(rèn)使用firewalld作為防火墻，管理工具是firewall-cmd，是包過濾機(jī)制，底層的調(diào)用命令仍然是iptables。

                         2.rhel7中有幾種防火墻共存：firewall，iptables，ebtables，因?yàn)檫@幾種daemon是沖突的，所以建議禁用其他幾種服務(wù)。（systemctl mask iptables ipohtables ebtables）

                         3.firewaal提供來支持網(wǎng)絡(luò)/防火墻區(qū)域定義網(wǎng)絡(luò)連接以及接口安全等級的防火墻管理，擁有運(yùn)行時配置和永久配置選項(xiàng)。它也能支持允許2服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。

                         4.firewall daemon動態(tài)管理防火墻，不需要重啟整個防火墻便可應(yīng)用更改。網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級，數(shù)據(jù)包要進(jìn)入內(nèi)核必須要通過這些zone的一個，而不同的zone里定義調(diào)度規(guī)則不一樣。

        拓?fù)鋱D：

        

預(yù)定義的服務(wù)：服務(wù)是端口或協(xié)議人口的組合

端口和協(xié)議：定義的tcp或udp端口，端口可以是一個端口或端口范圍

icmp阻塞：可以選擇internet控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應(yīng)。

偽裝：是有網(wǎng)絡(luò)地址可以被映射到公開的ip地址，這是一次正規(guī)的地址轉(zhuǎn)換

端口轉(zhuǎn)發(fā)：端口可以映射到另一個端口以及或者其他主機(jī)。

一：系統(tǒng)自定義的區(qū)域（默認(rèn)有九個區(qū)域，而且都會有特別的含義）

                            在進(jìn)行firewalld配置之前，我想來討論一下區(qū)域（zones）這個概念。默認(rèn)情況就有一些有效的區(qū)域。由firewalld 提供的區(qū)域按照從不信任到信任的順序排序。

            丟棄區(qū)域（Drop Zone）：如果使用丟棄區(qū)域，任何進(jìn)入的數(shù)據(jù)包將被丟棄。這個類似與我們之前使用iptables -j drop。使用丟棄規(guī)則意味著將不存在響應(yīng)。

            阻塞區(qū)域（Block Zone）：阻塞區(qū)域會拒絕進(jìn)入的網(wǎng)絡(luò)連接，返回icmp-host-prohibited，只有服務(wù)器已經(jīng)建立的連接會被通過即只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。

            公共區(qū)域（Public Zone）：只接受那些被選中的連接，默認(rèn)只允許 ssh 和 dhcpv6-client。這個 zone 是缺省 zone

            外部區(qū)域（External Zone）：這個區(qū)域相當(dāng)于路由器的啟用偽裝（masquerading）選項(xiàng)。只有指定的連接會被接受，即ssh，而其它的連接將被丟棄或者不被接受。

            隔離區(qū)域（DMZ Zone）：如果想要只允許給部分服務(wù)能被外部訪問，可以在DMZ區(qū)域中定義。它也擁有只通過被選中連接的特性，即ssh。

            工作區(qū)域（Work Zone）：在這個區(qū)域，我們只能定義內(nèi)部網(wǎng)絡(luò)。比如私有網(wǎng)絡(luò)通信才被允許，只允許ssh，ipp-client和 dhcpv6-client。

            家庭區(qū)域（Home Zone）：這個區(qū)域?qū)ｉT用于家庭環(huán)境。它同樣只允許被選中的連接，即ssh，ipp-client，mdns，samba-client和 dhcpv6-client。

            內(nèi)部區(qū)域（Internal Zone）：這個區(qū)域和工作區(qū)域（Work Zone）類似，只有通過被選中的連接，和home區(qū)域一樣。

            信任區(qū)域（Trusted Zone）：信任區(qū)域允許所有網(wǎng)絡(luò)通信通過。

記?。阂?yàn)閠rusted是最被信任的，即使沒有設(shè)置任何的服務(wù)，那么也是被允許的，因?yàn)閠rusted是允許所有連接的

二：Firewalld的原則

如果一個客戶端訪問服務(wù)器，服務(wù)器根據(jù)以下原則決定使用哪個 zone 的策略去匹配

（1）如果一個客戶端數(shù)據(jù)包的源 IP 地址匹配 zone 的 sources，那么該 zone 的規(guī)則就適

用這個客戶端；一個源只能屬于一個zone，不能同時屬于多個zone。

（2）如果一個客戶端數(shù)據(jù)包進(jìn)入服務(wù)器的某一個接口（如eth0）區(qū)配zone的interfaces，

則么該 zone 的規(guī)則就適用這個客戶端；一個接口只能屬于一個zone，不能同時屬于多個zone。

（3）如果上述兩個原則都不滿足，那么缺省的 zone 將被應(yīng)用

三：應(yīng)用

            獲取firewall的狀態(tài)

        

            不改變狀態(tài)下重新加載防火墻

        

         獲取支持的區(qū)域列表

        

            獲取支持的區(qū)域列表

        

         進(jìn)入目錄能列出有效的服務(wù)

        

            獲取所有支持的icmp類型

        

            列出全部啟用的區(qū)域的特性

        

            輸出區(qū)域全部啟用的特性

        

            輸出指定區(qū)域啟動的特性

        

            查看默認(rèn)區(qū)域

        

            設(shè)置默認(rèn)區(qū)域

        

            獲取活動區(qū)域

        

            根據(jù)接口獲取區(qū)域即需要查看哪個區(qū)域和這個接口綁定即是查看某個接口是屬于哪個區(qū)域的

        

            將接口增加到區(qū)域

        

            修接口所屬區(qū)域

        

            從區(qū)域中刪除一個接口（firewall-cmd [--zone] --remove-interface=接口名）

        

            查詢區(qū)域中是否包含某接口

        

            列舉區(qū)域中啟動的服務(wù)

        

            查看home區(qū)域中啟用服務(wù)

        

            啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接，防止出現(xiàn)緊急情況

        

            禁用應(yīng)急模式：firewall-cmd --panic-off

            查詢應(yīng)急模式：firewall-cmd --query-panic

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁標(biāo)題：firewalld防火墻-創(chuàng)新互聯(lián)
本文地址：http://bm7419.com/article18/hcodp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、標(biāo)簽優(yōu)化、搜索引擎優(yōu)化、微信公眾號、域名注冊、Google

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)