管理网络安全firewall

网络安全

Firewalld:动态防火墙管理器。
  我们都在生活中听说过防火防盗，那身为互联网家庭的成员，我们需要防什么呢？对了，没错，就是防火，好的，首先让我们看看系统防火到底要防什么？我们都知道钱很重要，所以咱们防盗贼，于是我们就把门锁上，一系列措施整起来，同理，防火防火，顾名思义就是防止外面的妖火，那对于一个互联网的社会，流量就很重要了，因此我们防的就是流量，想象一下，别人随意进出你家，搜取你的信息，太吓人了吧。
  在这里，我们需要理解一些关于区域的内容了。我觉得哈，区域就是分工合作的划分地盘，每个区域有自己需要完成的工作，每个区域都有自己的领地。就像一个国王把自己的领土划分为许多的区域，A区域种植蔬菜，B种植水果，C区域养牲畜等等。。。。。。
  接下来，咱们来看看这个防火，咱们得怎么防？还是那个例子，区域里总得有人干活对吧，干活总得有个身份，不能白干，于是a同学就拿着自己的工作卡首先去等级最高的A，A区域的机器人小婕一比对发出机械的声音：“这位美女姐姐，你不是这个区域的工作人员哟，去看看区域B吧，see you next time!”，a同学接着来到了B，机器人小呆说道：“Welcome to our family, having a nice day! Check success”,于是就可以搞事情了。
  好，那我们现在来看看“流量”这位同学，是怎么来找到相关区域的。

1. 查看所有防火墙工作区域是否有符合该地址的，有的话，就是该工作区域，与该工作区域的性质相同。
2. 如果没有符合的工作区域，咱们就查看是否有对应的端口规则
3. 好，连端口规则都没有，那咱们总有出路，咱们走默认工作区域。

相关概念

1. zones：是一些防火墙规则的集合，可以指定某一作用。举个例子：我指定ip=192.168.123.456的区域种植蔬菜，我就会写zone=A(上文已提到A是种植蔬菜的哟)
2. trusted：默认放行所有流量的传入。trust英文就是信任，相信，一看trusted就是个单纯的孩子，不管好人坏人都相信，都放行，因此我们不能太经常的把这个单纯的孩子放出来，免得被带坏了。
3. work：拒绝所有流量的传入，除非与传出流量有关，或者是预定义服务。
4. public：默认使用，拒绝所有流量的传入（除了系统预定义的sshd, dhcp6-client），允许流量的流出。
   咱就先学着这几个，自己想了解的是吧，各个网站都有，是吧，学习去吧！

关于firewall的一些简单的命令

  针对地址的命令

1.获取系统中所有防火墙的工作区域。

firewall-cmd  --get-zones

我这个系统下有10个

block  dmz  drop  external  home  internal  libvirt  public  trusted  work 

2.获取默认的防火墙工作区域

firewall-cmd  --get-default-zone

应该都是public

public

3.修改防火墙工作区域

修改防火墙的默认区域为trusted

firewall-cmd --set-default-zone=trusted

4.列出系统中所有服务的名称

firewall-cmd  --get-services

5.查看规则

这个查看，查看的只有public这一个区域

firewall-cmd  --list-all

这个查看就不得了啦，查看所有区域的规则

firewall-cmd  --list-all-zones

6.移除出该区域

firewell-cmd  --remove-source=192.168.123.123 --zone=public

6.添加到该区域

firewall-cmd  --add-source=192.168.149.123  --zone=trusted

以上设置都是单次（即时）生效，重启失效

firewall-cmd --permanent --add-source=192.168.149.131

此时该命令没有生效，需要重新加载

firewall-cmd  --reload

但执行完此条指令后，其余单次生效的会失效

  针对端口的命令

1.只要请求80端口流量就可以传入

firewall-cmd  --remove-port=80/tcp

2.服务放行，放行http服务

firewall-cmd --add-service=http  --zone=work

3.图形化小工具

yum install  firewall-config.noarch  -y

4.调用图形化

firewall-config

just like this picture

做个小小的有趣的实验吧~

首先，咱们需要两台虚拟机，那就克隆一个吧，记住是克隆完整的，不是克隆链接哟

第一步：查看ip

 ifconfig

ip  addr

ip a

记得查看本虚拟机和克隆虚拟机的ip,我这里分别记为a和b，两天虚拟机的名字为A和B

第二步：域名解析

vim  /etc/hosts 

在里面写入
a  A
b  B
(a、b为ip地址， A、B为虚拟机名字，或者自己取个名字都可以)

这是在A虚拟机下的操作哟（未特别说明的话，就是在A的虚拟机下，不是克隆的虚拟机下）
远程复制，将这个域名解析，远程复制到克隆虚拟机上

scp  /etc/hosts  root@b:/etc/hosts

b是克隆虚拟机的ip地址
第三步：进行服务的使用，测试一下区域

echo  "wotian,zhepianwenzhangzhenbucuo,bixuyaodiange dadadada dede zanzan" > /var/www/html/index.html

开启httpd这个服务

systemctl start httpd

用firefox（火狐浏览器）打开网页

firefox  http://localhost

你就可以看到如上的界面啦！到这里是不是很有成就感，接下来咱们的实验就开始啦！

在A虚拟机上是可以打开的

B虚拟机上打不开，是因为防火墙在防火啦，B在A虚拟机的默认区域（即public区域）所以打不开。

firewall-cmd  --remove-source=192.168.149.131
firewall-cmd  --add-source=192.168.149.131 --zone=trusted

现在我们讲它设置为trusted区域，来看看效果

是的，运行成功啦！你get到防火墙了吗？还有很多有趣的实验等着我们去探索哟！加油，铁汁们！