防火墙(firewalld)在服务端的典型需求和配置

已于 2024-09-05 13:53:20 修改
阅读量177 收藏 3
点赞数 5
文章标签: 网络安全
于 2024-09-05 13:49:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gogglex1/article/details/141928943
版权

服务端的防火墙需求,通常如下:

1、允许所有出站流量,

2、限制所有入站流量,

3、允许HTTP和HTTPS这类流量,

4、只允许从堡垒机登录服务器,

5、只允许从监控主机访问服务器的被监控端口,或只允许代理机访问一些内部服务,

6、如果有双机热备,可能还要允许VRRP通过,否则会发生脑裂。

防火墙大都是firewalld,而不再是iptables了。

下面我们看具体的firewalld配置

0、可能要清空之前的防火墙策略

rm -rf /etc/firewalld/zones

因为是可能,所以它是第0条。

0、启动firewalld并设置默认区域(假设使用public区域):

systemctl start firewalld
firewall-cmd --set-default-zone=public

通常有如下区域,这个区域类似于配置模版。

  • public: (公共区域)一般默认为该区域,仅允许访问本机的sshd, dhcp, ping等服务
  • trusted:(信任区域)允许任何访问
  • block: (限制区域)阻塞任何来访请求
  • drop:(丢弃区域)丢弃任何来访的数据包(不做出任何回应,直接丢弃) 能节省资源

不同的区域,可以作用在不同的网卡,如下:

firewall-cmd --permanent --zone=trusted --change-interface=eth0
firewall-cmd --permanent --zone=public --change-interface=eth1
firewall-cmd --reload

最简配置:除了启动firewalld,其他均可以不配置。

1、允许所有出站流量

firewalld默认情况下允许所有出站流量,所以你不需要做额外的设置。

2、限制所有入站流量

设置默认入站规则为拒绝:

firewall-cmd --zone=public --set-target=DROP

3、允许HTTP和HTTPS流量

使用以下命令允许HTTP和HTTPS流量通过:

firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent

4、 只允许从堡垒机登录服务器:

// 先移除默认开启的没有访问限制的ssh服务
firewall-cmd --permanent --remove-service=ssh
// 添加复杂规则,只允许指定IP段访问22端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

5、只允许从监控主机访问服务器的被监控端口,或只允许代理机访问一些内部服务

//zabbix监控
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="10051" accept'
//mysql
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'
//redis
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="6379" accept'
//mongodb
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="27017" accept'

6、.开启VRRP协议:

主备机都运行下面的命令

firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface em1 --destination 224.0.0.18 --protocol vrrp -j ACCEPT
firewall-cmd --reload

7、 重新加载防火墙以应用更改

firewall-cmd --reload
goggle1
关注
oracle数据库安装和配置详细讲解
yang_xs的博客(只讲干货)
09-14 1127
Oracle 数据库是全球广泛使用的关系型数据库管理系统 (RDBMS),提供高性能、可靠性、安全性和可扩展性,广泛应用于企业关键任务系统。下面详细介绍如何在 CentOS 系统上安装和配置 Oracle 数据库。在 CentOS 上安装和配置 Oracle 数据库涉及多个步骤,包括系统准备、依赖包安装、数据库安装与配置,以及网络监听与数据库创建。掌握这些步骤后,你可以轻松地在 CentOS 系统上部署 Oracle 数据库,并进行日常管理。
MySQL主从配置和Nginx简单运用
weixin_51980047的博客
07-22 1935
MySQL主从复制,读写分离案例,项目实现读写分离,Nginx-概述,Nginx-命令,Nginx-应用
Nginx----安装和配置文件参数详解
m0_53157173的博客
10-24 991
Nginx介绍名词解释1. WEB服务器:2.Http:3.POP3/SMTP/IMAP:4.反向代理正向代理和反向代理的区别Nginx的优点(1)速度更快、并发更高(2)配置简单,扩展性强(3)高可靠性(4)热部署(5)成本低、BSD许可证Nginx的功能特性及常用功能基本HTTP服务高级HTTP服务邮件服务Nginx常用的功能模块Nginx环境准备获取Nginx源码准备服务器系统Nginx安装方式介绍源码安装的环境准备方案一:Nginx的源码简单安装方案二:yum安装源码简单安装和yum安装的差异:方案
JAVA外卖项目第八天 mysql主从读写分离和nginx配置
fegus的博客
04-25 754
瑞吉外卖项目优化-Day02 课程内容 MySQL主从复制 读写分离案例 项目实现读写分离 Nginx-概述 Nginx-命令 Nginx-应用 前言 1). 存在的问题 在前面基础功能实现的过程中,我们后台管理系统及移动端的用户,在进行数据访问时,都是直接操作数据库MySQL的。结构如下图: 而在当前,MySQL服务器只有一台,那么就可能会存在如下问题: 1). 读和写所有压力都由一台数据库承担,压力大 2). 数据库服务器磁盘损坏则数据丢失,单点故障 2). 解决方案 为了解决上述提到的
PXE Server 配置
weixin_45547360的博客
10-08 2247
Legacy+UEFI PXE Server
FTP协议的原理及配置
m0_58292366的博客
04-15 3543
一、FTP概述 1、FTP(File Transfer Protocol,超文本传输协议) 是典型的c/s架构的应用层协议,需要由服务端软件、客户端软件两个部分共同实现文本传输功能。FTP客户端和服务器之间的连接是可靠的,面向连接的,为数据的传输提供了可靠的保证。tcp协议:20,21端口。 FTP是一种文本传输协议,它支持两种模式,一种方式叫做Standard(也就是Active,主动方式),一种是Passive(也就是PASV,被动方式)。Standard模式 FTP的客户端发送PORT命令到FT
Nginx的配置使用
JAVA技术爱好者
01-26 253
Nginx的配置使用Nginx介绍代理模式正向代理反向代理负载均衡常用的命令安装部署nginx.confNginx应用启动nginx负载均衡测试访问控制多虚拟主机配置静态资源压缩状态页身份认证location匹配url重写限流 Nginx介绍 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新
nginx配置与应用
weixin_45782719的博客
02-17 1138
1.为什么选择nginx高性能,高并发,高可靠热部署 nginx使用网络模型epool高扩展:丰富的模块,能随时能够集成2.其他的web服务器ApacheLlsNginxTengineGWSOpenrestry3.NGINX有哪些应用场景静态资源服务代理资源服务安全服务场景介绍用户请求先到达NGINX,然后到tomcat(运行java)或者django(运行python)这样的应用服务器,然后在去访问redis,mysql这样的数据库,提供基本的数据功能。
Redis--简介,安装及其配置
wenkezhuangyuan的博客
08-05 351
一 Redis简介 1.0 Redis简介 什么是Redis Redis 是完全开源免费的,遵守BSD协议,是一个高性能(NOSQL)的key-value数据库,Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 BSD是"Berkeley Software Distribution"的缩写,意思是"伯克利软件发行版"。 BSD开源协议是一个给于使用者很大自由的协议。可以自由的使用,修改源代码,也可以将修改后的
深度学习框架TensorFlowEnterprise实践:从零开始搭建企业级TensorFlow集群环境
AI天才研究院
07-31 1798
在自然语言处理、图像识别、自动驾驶、视频分析等领域,深度学习框架是现代机器学习的一个重要组成部分。近年来,大量研究人员将其应用到各种各样的计算机视觉、自然语言处理、自动驾驶、医疗健康等领域中。为了能够实现这些目标,深度学习框架对集群环境的支持已经成为一个亟待解决的问题。Tensorflow在国内的应用相对较少,国内很多公司并没有那么多资源进行深度学习的部署。
Nginx基础之HTTP介绍/ng介绍与基本安装配置
weixin_43136091的博客
05-18 1884
一、HTTP 介绍 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 1、HTTP 工作原理 HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 Web服务器有:Nginx,Apache服务器,IIS服务
Squid代理----基础理论+传统代理和透明代理搭建
weixin_45726050的博客
03-23 756
文章目录前言:一、Squid概述1.1 Squid 缓存服务器1.2 Squid 概述二、Squid 主要功能三、Squid 工作流程3.1 Squid 简易工作流程图3.1.1 Squid 工作流程四、Squid三种代理服务器4.1 Squid 代理类型4.2 Squid 三种代理服务器原理4.3 三种代理应用场景五、Squide 传统代理部署(实验)5.1 实验环境5.2 部署Squid5.2...
Nginx
m0_69522116的博客
03-23 1035
是一个。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8492
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
四轮转向汽车模型预测控制(MPC)路径跟踪 simulink-simscape仿真,无需carsim mpc基于车辆动力学模型
10-09
四轮转向汽车模型预测控制(MPC)路径跟踪 simulink-simscape仿真,无需carsim。 mpc基于车辆动力学模型设计,纵向PID控制。 支持平坦路面,颠簸路面切,外形变化。 魔术公式轮胎模型。 注:MATLAB要求2022a及以上版本
在给定足够的参数的情况下找到摩擦系数,并将系数与不同参数绘制成图表matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
全球自动食品预制袋包装机行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
10-09
全球自动食品预制袋包装机行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
Blackboard学习系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
最新发布
10-09
Blackboard学习系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
linux防火墙firewalld配置
10-10
在Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值