防火墙策略_firewall

最新推荐文章于 2024-07-10 10:54:49 发布
最新推荐文章于 2024-07-10 10:54:49 发布
阅读量862 收藏 2
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M________123/article/details/77412625
版权

firewalld

iptables一样,firewalld同样属于防火墙服务他们在功能上都是为了保障系统环境的安全


firewalld的网络区域


启动服务

防火墙常用配置选项



查看当前所在区域和切换区域



查看防火墙服务列表


添加服务:

命令方式


文件方式

vim /etc/firewalld/zones/public.xml


Direct Rules

通过 firewall-cmd 工具,可以使用 –direct 选项在运行时间里增加或者移除链。 

添加规则:
firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT
删除规则:
firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j ACCEPT
列出规则:
firewall-cmd --direct --get-all-rules


Rich Rules

通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。
这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。 
语法规则:


source

指定源地址,可以是一个ipv4/ipv6的地址或网段,不支持使用主机名。
destination

指定目的地址,用法和source相同。
service

服务名称是 firewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:firewall-cmd --get-services
port

端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或udp 。命令为以下形式:port port=number_or_range protocol=protocol
protocol

协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /etc/protocols。命令为以下形式:protocol value=protocol_name_or_ID13 www.westos.org icmp-block用这个命令阻绝一个或多个ICMP类型。IC MP 类型是 firewalld支持的ICMP类型之一。要获得被支持的ICMP类型列表,输入以下命令: firewall-cmd --get-icmptypesicmp-block在内部使用 reject 动作,因此不允许指定动作。命令为以下形式:icmp-block name=icmptype_name

masquerade

打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许指定动作。

forward-port

从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作,命令使用内部动作accept 。命令为以下形式:forward-port port=number_or_range protocol=protocol to-port=number_or_range to-addr=address14 www.westos.org

log

注册含有内核记录的新连接请求到规则中,比如系统记录。你可以定义一个前缀文本,记录等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的一个。命令形式:log [prefix=prefix text] [level=log level] limit value=rate/duration(等级用正的自然数 [1, ..] 表达,持续时间的单位为 s 、 m 、 h 、 d 。 s 表示秒, m 表示分钟, h表示小时, d 表示天。最大限定值是 1/d ,意为每天最多有一条日志进入。)
audit审核为发送到 aud i td 服务的审核记录来注册提供了另一种方法。审核类型可以是ACCEPT、REJECT或DROP中的一种,但不能在 audit命令后指定,因为审核类型将会从规则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选择的。选择 accept 所有新的连接请求都会被允许。选择 reject ,连接将被拒绝,连接来源将接到一个拒绝信息。拒绝的类型可以被设定为使用另一种值。选择 drop , 所有数据包会被丢弃,并且不会向来源地发送任何信息。

地址伪装(路由器)


iptables中我们已经进行过地址伪装,现在我们用firewall来达到同样的效果
同样两条命令实现




注意只是我们只是配置好了策略而伪装功能还没有打开,现在打开伪装功能

[root@localhost ~]# firewall-cmd --permanent --add-masquerade 
success

这两个策略的作用之前在 iptables中讲过现在我们之间看效果吧




管理SELinux端口标签











                

        

        

    




    

      

        

            

              
                
                  msh_away
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
防火墙策略

				
			

			

				

					Vincent's tech blog
				

				

					06-08
					
					1万+
					
				

			

		

		

			
				

  所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。 
  防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。 
  


安装防火墙服务

[root@foundation79 Desktop]# yum install firewalld fir...

			
		

	



                

              
                



	

		

			

				
					
防火墙策略之firewall

				
			

			

				

					sumin1118的博客
				

				

					06-09
					
					441
					
				

			

		

		

			
				
[root@localhost ~]# systemctl stop iptables                         ##停止iptables
[root@localhost ~]# systemctl mask iptables                         ##冻结iptables不再启用
ln -s '/dev/null' '/etc/systemd/

			
		

	



                


  
              

                


	

		

			

				
					
2024年最全工作中常用到的Linux系统firewall防火墙策略_linux 防火墙策略

				
			

			

				

					2401_83974173的博客
				

				

					05-01
					
					401
					
				

			

		

		

			
				
firewall简介:firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。防火墙技术分为三类:包过滤,应用代理,状态检测。

			
		

	





	

		

			

				
					
firewall-cmd防火墙策略

				
			

			

				

					weixin_53389944的博客
				

				

					05-29
					
					783
					
				

			

		

		

			
				
开机自启firewalld:systemctl enable firewalld。启动firewalld: systemctl start firewalld。关闭 firewalld: systemctl stop firewalld。不执行 firewall-cmd --reload 命令配置不生效。重载firewalld:firewall-cmd -reload。查看防火墙策略:firewall-cmd --list-all。--permanent 永久生效,重启后规则不消失。针对某个IP开放端口。

			
		

	



		

			
		



	

		

			

				
					
防火墙安全策略(基本配置)

					
最新发布

				
			

			

				

					2301_78439235的博客
				

				

					07-10
					
					1242
					
				

			

		

		

			
				
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。

			
		

	





	

		

			

				
					
工作中常用到的Linux系统firewall防火墙策略

				
			

			

				

					征服Bug的博客
				

				

					07-27
					
					3200
					
				

			

		

		

			
				
firewall简介firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。防火墙技术分为三类包过滤,应用代理,状态检测。...

			
		

	





	

		

			

				
					
Visual C++防火墙与网络封包截获技术.rar_firewall-securite_个人防火墙_封包_网络防火墙_防火墙

				
			

			

				

					07-15
				

			

		

		

			
				
Visual C++防火墙与网络封包截获技术,包含多个源码,是学习防火墙技术的好东西。

			
		

	





	

		

			

				
					
防火墙安全策略巡检报告.pdf

				
			

			

				

					11-27
				

			

		

		

			
				
防火墙安全策略巡检报告  防火墙安全策略巡检报告是信息安全中的重要组成部分,该报告旨在对防火墙的安全策略进行评估和分析,以确保防火墙的安全策略符合信息安全的要求。下面是该报告的详细知识点:  第一章 概述 ...

			
		

	





	

		

			

				
					
防火墙策略组成

				
			

			

				

					01-07
				

			

		

		

			
				
防火墙策略做成的一些小知识

			
		

	





	

		

			

				
					
juniper防火墙策略

				
			

			

				

					12-14
				

			

		

		

			
				
官方讲解防火墙策略的文档, Part 1 Stateless Firewall Filters Chapter 1 Introduction to Stateless Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Chapter 2 Standard ...

			
		

	





	

		

			

				
					
centos7中firewall防火墙命令详解

				
			

			

				

					09-15
				

			

		

		

			
				
你可以用`firewall-cmd --get-active-zones`来获取当前活动的区域,这些区域定义了不同的安全策略。  获取FirewallD支持的所有服务,可以使用`firewall-cmd --get-services`,这些服务包括HTTP、HTTPS、SSH等常见...

			
		

	





	

		

			

				
					
防火墙策略管理firewall-1

				
			

			

				

					weixin_33862188的博客
				

				

					11-01
					
					242
					
				

			

		

		

			
				
防火墙策略管理(firewall)  作用:隔离,管理 入站 出站系统服务: firewalld管理工具: # firewall-cmd   # 命令         # firewall-config  # 图形查看防火墙服务状态: # systemctl status firewalld根据所在的网络场所区分,预设保护规则集public...

			
		

	





	

		

			

				
					
使用firewall-cmd命令重新加载防火墙

				
			

			

				

					Leon_Jinhai_Sun的博客
				

				

					03-05
					
					654
					
				

			

		

		

			
				
使用firewall-cmd命令重新加载防火墙

			
		

	





	

		

			

				
					
linux 防火墙 重新加载,Linux中防火墙命令笔记

				
			

			

				

					weixin_34663036的博客
				

				

					05-12
					
					2231
					
				

			

		

		

			
				
#启动 systemctl start firewalld#开机启动 systemctl enable firewalld#停止 systemctl stop firewalld#禁止开机关闭 systemctl disable firewalld#查看状态 systemctl status firewalld#防火墙控制台firewall-cmd#查看状态 firewa...

			
		

	





	

		

			

				
					
firewall防火墙配置实战

				
			

			

				

					weixin_38924998的博客
				

				

					02-19
					
					785
					
				

			

		

		

			
				
centos7防火墙配置大全

			
		

	





	

		

			

				
					
系统安全保护  防火墙策略

				
			

			

				

					xixi1067087210的博客
				

				

					08-04
					
					358
					
				

			

		

		

			
				

还原三台虚拟机classroom server  desktop
[root@server0 ~]# rht-vmctl  reset classroom
[root@server0 ~]# rht-vmctl  reset server
[root@server0 ~]# rht-vmctl  reset desktop
 
确认虚拟机server  Yum是否可用
[root@server0...

			
		

	





	

		

			

				
					
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解

				
			

			

				

					冰恋云的专栏
				

				

					03-13
					
					7177
					
				

			

		

		

			
				
查看防火墙策略

			
		

	





	

		

			

				
					
AIX中配置防火墙策略

					
热门推荐

				
			

			

				

					allway2的博客
				

				

					09-07
					
					1万+
					
				

			

		

		

			
				
前言

在通常情况下,AIX 服务器都放置于企业内部环境中,可以受到企业级防火墙的保护。为了方便使用,在 AIX 系统中许多常用服务端口缺省是开放的,但这同时也带来一定的安全隐患,给企业内部一些别有用心的人提供了方便之门。

安全无小事,对于运行了关键业务的 AIX 服务器,为了提高安全性,我们可以通过关闭不必要的端口,停止相应的服务来实现。但是,如果某项服务端口由于应用的特殊需要不可以停止,有什...

			
		

	





	

		

			

				
					
防火墙策略状态检查shell脚本

				
			

			

				

					05-05
				

			

		

		

			
				
以下是一个简单的防火墙策略状态检查的shell脚本:

```
#!/bin/bash

# 检查防火墙状态
FW_STATUS=$(systemctl status firewalld | grep Active | awk '{print $2}')

# 如果防火墙状态为inactive,则退出脚本
if [ "$FW_STATUS" == "inactive" ]; then
    echo "防火墙未开启"
    exit 1
fi

# 检查防火墙规则
FW_RULES=$(firewall-cmd --list-all | grep "services:")

# 如果防火墙规则中没有任何服务,则退出脚本
if [ -z "$FW_RULES" ]; then
    echo "防火墙规则为空"
    exit 1
fi

echo "防火墙状态和规则正常"
exit 0
```

脚本的功能是检查防火墙的状态和规则是否正常。首先,检查防火墙的状态是否为active,如果是inactive则表示防火墙未开启,脚本将退出并返回错误码1。然后,检查防火墙规则中是否有任何服务,如果没有,则表示防火墙规则为空,脚本将退出并返回错误码1。最后,如果防火墙状态和规则都正常,则脚本将返回成功码0。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值