防火墙和系统安全防护和优化

最新推荐文章于 2023-04-02 19:57:38 发布

hanhanduan

最新推荐文章于 2023-04-02 19:57:38 发布

阅读量98

点赞数

原文链接：https://www.cnblogs.com/wuling129/p/4654461.html

版权

防火墙和系统安全防护和优化

防火墙策略的应用

防火墙策略的应用

隔离作用

允许出站，过滤入站

RHEL7的防火墙体系

• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形)

预设安全区域

• 根据所在的网络场所区分,预设保护规则集
– public : 仅允许访问本机的sshd等少数几个服务
– trusted : 允许任何访问
– block : 阻塞任何来访请求 (明确回应拒绝)
– drop : 丢弃任何来访的数据包 (没有明确回应，直接丢弃)

防火墙的判断规则：匹配及停止

1.客户端请求中的来源IP地址，查看本身所有区域的规则，如果有一个区域规则有该IP地址的规则，则进入该区域

2.进入默认区域（默认区域一般为public）

默认区域的案例

虚拟机Server0：
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域

虚拟机desktop0：
[root@desktop0 ~]# ping -c 2 172.25.0.11 #可以通行

虚拟机Server0：
[root@server0 ~]# firewall-cmd --set-default-zone=block #修改默认区域
[root@server0 ~]# firewall-cmd --get-default-zone

虚拟机desktop0：
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信，有回应

虚拟机Server0：
[root@server0 ~]# firewall-cmd --set-default-zone=drop
[root@server0 ~]# firewall-cmd --get-default-zone

虚拟机desktop0：
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信，没有回应

常见的协议

http 超文本传输协议
https 安全的超文本传输协议
ftp 文件传输协议
tftp 简单文件传输协议
telnet 远程管理协议
dns 域名解析协议
smtp 邮件协议
pop3 收邮件协议
snmp 简单的管理协议

服务案例

虚拟机Server0
[root@server0 ~]# firewall-cmd --set-default-zone=public
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看区域策略

虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以

虚拟机Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=http #添加协议
[root@server0 ~]# firewall-cmd --zone=public --list-all

虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以

虚拟机Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp
[root@server0 ~]# firewall-cmd --zone=public --list-all

虚拟机Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #可以

防火墙策略永久配置

– 永久(permanent)

虚拟机Server0

firewall-cmd --reload #重新加载防火墙所有配置
firewall-cmd --zone=public --list-all
firewall-cmd --permanent --zone=public --add-service=http #设置永久
firewall-cmd --zone=public --list-all
firewall-cmd --reload #重新加载防火墙所有配置
firewall-cmd --zone=public --list-all

防火墙对于客户端源IP控制

拒绝172.25.0.10访问本机的所有服务,其他客户端都允许

虚拟机desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以

虚拟机Server0
firewall-cmd --zone=block --list-all
firewall-cmd --permanent --zone=block --add-source=172.25.0.10
firewall-cmd --reload success
firewall-cmd --zone=block --list-all

虚拟机desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以

hanhanduan

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
防火墙和系统安全防护和优化

防火墙和系统安全防护和优化防火墙策略的应用隔离作用RHEL7的防火墙体系预设安全区域防火墙的判断规则：匹配及停止默认区域的案例常见的协议：服务案例防火墙策略永久配置防火墙对于客户端源IP控制防火墙策略的应用隔离作用允许出站，过滤入站RHEL7的防火墙体系• 系统服务:firewalld• 管理工具:firewall-cmd、firewall-config(图形)预设安全区域• 根据...
复制链接

扫一扫