安全OSI
1.硬件层面: 温度 机柜上锁 磁盘损坏 cpu异常 等等 <--监控
2.网络层面: 没有公网IP
3.系统层面: 打补丁 禁止Root直接登录 变更SSH端口 软防
4.应用层面: 监听在内网网卡 不要使用弱口令密码
5.web层面: 劫持和篡改网站 漏洞注入(非法方式进入网站) ddos(造成网站无法响应)
安骑士 云盾 ....
1.接入硬件防火墙 来源IP限制或限速 ( 流量得足够大 )
2.https加密传输
3.waf防火墙 web应用层防火墙 nginx+lua=waf 《== http|https
firewalld基于来源IP或端口进行访问规则控制( 安全组–阿里云 )
1.当前默认的区域是谁?
[root@manager ~]# firewall-cmd --get-default-zone
public
2.当前正在活动的区域又是谁?
[root@manager ~]# firewall-cmd --get-active-zones
public
interfaces: eth0 eth1
3.查看具体规则明细?
[root@manager ~]# firewall-cmd --list-all
如何添加一个放行的端口?
[root@manager ~]# firewall-cmd --add-port=8080/tcp --add-port=8080/udp
[root@manager ~]# firewall-cmd --add-port={8081,8082}/tcp
[root@manager ~]# firewall-cmd --add-port={8090..8095}/tcp
删除
[root@manager ~]# firewall-cmd --remove-port={8090..8095}/tcp
如何添加一个放行的服务? 服务名称进行放行 --> 本质还是对应的端口
[root@manager ~]# firewall-cmd --add-service=http
如何自定义一个服务名称?
/usr/lib/firewalld/services/
[root@manager ~]# cd /usr/lib/firewalld/services/
[root@manager ~]# cp http.xml nginx.xml
[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-service=nginx
firewalld 转发 四层负载
firewall-cmd --permanent(永久生效需要重新加载才能生效,如果不加--permanent会立刻生效,重新加载会失效) --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@manager ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
[root@manager ~]# firewall-cmd --add-masquerade(可以理解为NAT地址转换)
firewalld 富规则 复杂的规则
[root@Firewalld ~]# man firewall-cmd # 帮助手册
[root@Firewalld ~]# man firewalld.richlanguage # 获取富规则手册
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop
1.比如允许10.0.0.1主机能够访问80,允许172.16.1.0/24能访问8081端口
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="80" protocol="tcp" accept'
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port="8081" protocol="tcp" accept
2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" service name="ssh" drop'
3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@manager ~]# firewall-cmd --remove-service=ssh
[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" service name="ssh" accept'
4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口
firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="6666" protocol="tcp" to-port="22" to-addr="172.16.1.7"'
[root@manager ~]# firewall-cmd --add-masquerade
注:
accept: 允许
reject: 拒绝,回句话
drop: 拒绝,不搭理
firewalld 共享上网
1.一条命令开启共享上网
[root@manager ~]# firewall-cmd --add-masquerade
2.客户端将默认网关指向—> 能上网的地址
[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
IPADDR=172.16.1.7
GATEWAY=172.16.1.61
DNS1=223.5.5.5
PREFIX=24
[root@web01 ~]# ifdown eth1 && ifup eth1
3.测试
[root@web01 ~]# ping baidu.com
PING baidu.com (39.156.69.79) 56(84) bytes of data.
64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=1 ttl=127 time=6.05 ms
64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=2 ttl=127 time=12.2 ms