防火墙策略的应用
隔离作用
允许出站,过滤入站
RHEL7的防火墙体系
• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形)
预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public : 仅允许访问本机的sshd等少数几个服务
– trusted : 允许任何访问
– block : 阻塞任何来访请求 (明确回应拒绝)
– drop : 丢弃任何来访的数据包 (没有明确回应,直接丢弃)
防火墙的判断规则:匹配及停止
1.客户端请求中的来源IP地址,查看本身所有区域的规则,如果有一个区域规则有该IP地址的规则,则进入该区域
2.进入默认区域 (默认区域一般为public)
默认区域的案例
虚拟机Server0:
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #可以通行
虚拟机Server0:
[root@server0 ~]# firewall-cmd --set-default-zone=block #修改默认区域
[root@server0 ~]# firewall-cmd --get-default-zone
虚拟机desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信,有回应
虚拟机Server0:
[root@server0 ~]# firewall-cmd --set-default-zone=drop
[root@server0 ~]# firewall-cmd --get-default-zone
虚拟机desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信,没有回应
常见的协议
http 超文本传输协议
https 安全的超文本传输协议
ftp 文件传输协议
tftp 简单文件传输协议
telnet 远程管理协议
dns 域名解析协议
smtp 邮件协议
pop3 收邮件协议
snmp 简单的管理协议
服务案例
虚拟机Server0
[root@server0 ~]# firewall-cmd --set-default-zone=public
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看区域策略
虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以
虚拟机Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=http #添加协议
[root@server0 ~]# firewall-cmd --zone=public --list-all
虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以
虚拟机Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp
[root@server0 ~]# firewall-cmd --zone=public --list-all
虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #可以
防火墙策略永久配置
– 永久(permanent)
虚拟机Server0
firewall-cmd --reload #重新加载防火墙所有配置
firewall-cmd --zone=public --list-all
firewall-cmd --permanent --zone=public --add-service=http #设置永久
firewall-cmd --zone=public --list-all
firewall-cmd --reload #重新加载防火墙所有配置
firewall-cmd --zone=public --list-all
防火墙对于客户端源IP控制
拒绝172.25.0.10访问本机的所有服务,其他客户端都允许
虚拟机desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
虚拟机Server0
firewall-cmd --zone=block --list-all
firewall-cmd --permanent --zone=block --add-source=172.25.0.10
firewall-cmd --reload success
firewall-cmd --zone=block --list-all
虚拟机desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以