18.防火墙

最新推荐文章于 2024-07-15 17:15:41 发布
最新推荐文章于 2024-07-15 17:15:41 发布
阅读量876 收藏 13
点赞数 17
分类专栏: linux 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57012538/article/details/135526842
版权

防火墙

文章目录

1. 防火墙介绍

防火墙是一种获取安全的方法,有助于实施一个比较广泛的安全性政策,用以确定系统中允许提供的服务和访问。它的使用在一定的程度上减少了系统被网络攻击成功的概率,加固了系统的安全。同时SELinux端口标签可以用来控制网络服务所使用的网络端口。

1.1 firewalld简介

Linux内核中包含netfilter,它是网络流量操作(如数据包过滤、网络地址转换和端口转换)的框架。Netfilter是红帽企业Linux 8防火墙的主要组件。Linux内核中还包括nftables,这是一个新的过滤器和数据包分类子系统,其增强了netfilter的部分代码,但仍保留了netfilter的架构。

Firewalld是一个动态防火墙管理器,它是nftables框架的前端。firewalld曾使用iptables命令来直接配置netfilter,在nftables推出之前,firewalld作为一种改进iptables服务的替代方案。在RHEL 8中,firewalld仍然是推荐的前端,使用它来管理防火墙规则集。firewalld通过firewalld.service服务来控制。

1.2 firewalld预定义区域

Firewalld上有一些预定义区域,每个区域都有着自己特定的用途,可分别进行自定义。默认情况下,如果传入的流量属于系统启动通信的一部分,则所有区域都允许这些传入流量和所有传出流量。

区域默认配置功能
block拒绝所有传入的流量,但会有返回拒绝提示
dmz允许预定义服务(如ssh等)流量传入,拒绝其他传入的流量
drop丢弃所有传入流
external允许预定义服务(如ssh等)流量传入,拒绝其他传入的流量。通过此区域转发的IPv4传出流量将进行伪装
home允许预定义服务(如ssh、dhcpv6-client、mdns、samba-client)等流量传入,拒绝其他传入的流量
internal允许预定义服务(如ssh、dhcpv6-client、mdns、samba-client)等流量传入,拒绝其他传入的流量
public默认区域,允许预定义服务(如ssh、dhcpv6-client等)流量传入,拒绝其他传入的流量
trusted允许所有传入流量
work允许与预定义的服务匹配的流量,拒绝其他传入的流量

2. firewalld管理

firewalld支持运行时配置和永久配置这两种配置模式。

  • 运行时配置模式下进行的firewalld配置更改,会立即生效,但是当系统重新启动后,所做的更改将失效。
  • 永久配置模式下进行的firewalld配置更改,则会永久生效(系统重新启动后生效),但需要运行firewall-cmd --reload命令重载防火墙激活运行时配置模式下的配置。运行时配置的更改,适用于管理员在防火墙上测试新的或不确定的规则,这些规则可能会对主机造成一些危险。

2.1 命令行管理工具firewall-cmd

通过命令行工具firewall-cmd管理firewalld时,若没有提供"–permanent"选项,则所有配置都作用于运行时配置。更改运行时配置时,可以在firewall-cmd命令行的结尾添加"–timeout=“选项,当该运行时配置更改没有合理运行时,该更改会在超时时间超时时被删除。当提供”–permanent"选项时,则所有的配置都作用于永久配置,然后需要"firewall-cmd --reload"命令激活这些更改。
使用firewall-cmd工具设置firewalld时,若未提供"–zone="选项,则该设置作用于默认区域。

2.2 管理firewalld中的域

列出当前所有可用区域

firewall-cmd --get-zones

查看当前默认区域

firewall-cmd --get-default-zone

列出public区域所有的配置

firewall-cmd --list-all --zone=public

将home区域设置为默认区域

firewall-cmd --set-default-zone=home

2.3 管理firewalld中的规则

更改运行时配置:添加服务http,设置超时时间为30s,并查看该设置

firewall-cmd --add-service=http --timeout=30
firewall-cmd --list-all

更改永久配置:在防火墙添加端口3306,协议是tcp,并激活配置

firewall-cmd --add-port=3306/tcp --permanent
firewall-cmd --reload

更改永久配置:在防火墙上添加一组连续的端口,如500-600,协议是tcp,并激活配置

firewall-cmd --add-port=500-600/tcp --permanent
firewall-cmd --reload

更改永久配置:在防火墙上移除端口3306,协议是tcp,并激活配置

firewall-cmd --remove-port=3306/tcp --permanent
firewall-cmd --reload

2.4 管理富规则

Firewalld富规则为管理员提供了一种丰富的表达性语言,通过这种语言可表达firewalld的基本语法中未涵盖的自定义防火墙规则。富规则可用于表达基本的允许和拒绝的规则,同时也可以用于配置伪装、端口转发及记录和速率限制。

富规则的语法格式如下:

rule
        [family]
        [source]
        [destination]
        service | port | protocol | icmp-block | masquerade | forward-port 
        [log]
        [audit]
        [accept | reject | drop]

富规则的重要选项主要有4个

选项描述
–add-rich-rule=‘’ [–zone=]向区域中添加富规则,若未提供–zone=选项,则使用默认区域
–remove-rich-rule=‘’ [–zone=]从区域中删除富规则,若未提供–zone=选项,则使用默认区域
–query-rich-rule=‘’ [–zone=]从区域中查询富规则是否已经添加到该区域, 如果已经添加则返回yes,否则返回no。 若未提供–zone=选项,则使用默认区域
–list-rich-rules [–zone=]从区域中查询富规则。

富规则使用示例
接受来自10.10.10.0/24网络内主机访问http服务,更改永久配置并激活(动作accept)

firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.10.10.0/24 service name=http accept’ --permanent
firewall-cmd --reload
-cmd --add-rich-rule='rule family=ipv4 source address=10.10.10.0/24 service name=http accept’ --permanent
firewall-cmd --reload
疑犯
关注
  • 17
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ubuntu18 防火墙关闭_ubuntu18上关闭默认的防火墙
weixin_36333097的博客
01-14 1919
sudo ufw enable|disableubuntu 系统默认已安装ufw.1.安装sudo apt-get install ufw12.启用sudo ufw enablesudo ufw default deny123运行以上两条命令后,开启了防火墙,并在系统启动时自动开启。关闭所有外部对本机的访问,但本机访问外部正常。3.开启/禁用sudo ufw allow|deny [service...
进程防火墙 v18
10-30
进程防火墙是一款专门检测进程的一款安全软件,它能填补杀毒软件的残缺,如果进程运行时杀毒软件没有检测到,本软件能够代替杀毒软件检测,给电脑加上一层防御。功能介绍:1、网络防火墙窗口:在进程联网时会有提示...
【HCIP】18.防火墙
走马
08-30 145
应用层包过滤功能,放行策略的时候,可以判断出是一个FTP协议,会触发ASPF的功能,会去读ABCDEF的信息,读完之后,就可以知道要开哪个随机端口要和对方的哪个端口进行连接,这个时候会生成一个Server-map的表项,设备会根据这个表项直接生成会话。,下一代防火墙,除了是否对他通过进行判断,也可以对安全进行判断(例如是否是病毒,DDOS攻击),有了模块还需要买授权才可以使用,既能保证流量的通过,也要保证不安全的流量不能通过。:外部网络安全隔离,内部网络安全管控,内容安全过滤,入侵防御,防病毒。
ubuntu18防火墙端口设置
hdyes的专栏
11-29 1129
firewall-cmd --zone=public --add-port=6379/tcp --permanent 重新加载防火墙生效上面的配置 firewall-cmd --reload 配置端口是否访问的时候,需要安装防火墙 sudo apt-get install firewalld firewall在ubuntu机器上也可以运行,但是ubuntu通常使用ufw的防火墙。 ufw开启 su...
ubuntu18 防火墙关闭_ubuntu18开启/关闭防火墙
weixin_33277564的博客
01-30 1584
1 、启用sudo ufw enablesudo ufw default deny作用:开启了防火墙并随系统启动同时关闭所有外部对本机的访问(本机访问外部正常)。2 、关闭sudo ufw disable3、 查看防火墙状态sudo ufw status4 、开启/禁用相应端口或服务举例sudo ufw allow 80 允许外部访问80端口sudo ufw delete allow 80 禁止外...
18、IPTables防火墙.pdf
11-01
18、IPTables防火墙.pdf
18周教案防火墙..pdf
03-15
18周教案防火墙..pdf
Linux防火墙.pdf
04-12
 1.8.8 iptables-save与iptables-restore 18  1.8.9 测试策略:TCP 20  1.8.10 测试策略:UDP 21  1.8.11 测试策略:ICMP 22  1.9 本章总结 23  第2章 网络层的攻击与防御 24  2.1 使用iptables记录...
USG防火墙入门讲解视频.zip
04-14
18 业务接口工作在三层,上下行连接交换机.mp4 19 业务接口工作在三层,上下行连接路由器.mp4 20 业务接口工作在二层,上下行连接路由器.mp4 21 双机热备之负载分担.mp4 22 双机热备之IP-Link.mp4 23 IP-Link联动...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 236
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Nginx入门到精通五(动静分离)
一条大河
07-14 225
动静分离介绍Nginx动静分离是把动态请求和静态请求分开,而不能理解为把动态页面和静态页面物理分离。可以理解为Nginx处理静态页面,Tomcat处理动态页面。动静分离实现上分为两种,方案1:主流方案,纯粹把静态文件独立成单独的域名,放在独立服务器上;方案2:动态文件和静态文件放在一起,通过Nginx来分开;通过location指定不同后缀名实现不同请求的转发;静态请求时,可以通过expires参数设置浏览器缓存过期时间,减少客户端和服务器之间的请求和流量。
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
jclee95的个人博客
07-10 1108
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
阿里云操作系统智能助手OS Copilot的实验测评报告
2301_82312762的博客
07-12 1047
在老师的介绍下我了解到了阿里云OS Copilot这个产品,它是阿里云推出的一项基于人工智能技术的操作系统,设计用于阿里云Linux操作系统以及其他可能的云上操作系统环境,为用户提供智能化的系统管理和运维支持。阿里云提供了操作手册,操作时按着步骤来就好使用操作系统智能助手OS Copilot解锁操作系统运维与编程 - 云起实验室-在线实验-上云实践-阿里云开发者社区-阿里云官方实验平台-阿里云。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 877
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
oray2013的专栏
07-11 388
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
docker将Java、vue、nginx打进镜像(涉及容器打成镜像)
最新发布
qq_37752382的博客
07-15 331
按照上文拉取centos7,然后将需要的东西直接打进脚本,这样最简单,但是在拉取过程中,初始镜像contos7安装nginx需要安装一些工具包,拉取的时候报错了,原因还是在镜像源上,并且还想在上面装一些工具,另外创建容器不应该在里面做很多初始化的东西,每次更新业务包就行,4)准备文件完成后执行下面的就行(如果配置文件不对,比如nginx的配置等先进入镜像手动调整好,没问题了,再删除掉容器和镜像重新制作镜像即可)本文不讲安装docker,安装好安装,镜像源稍微麻烦点。1)生成镜像并创建容器。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 670
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
docker-compose安装PolarDB-PG数据库
wnfff的博客
07-12 296
docker-compose安装PolarDB-PG数据库
mount: mounting 172.18.1.191:/home/hezhimin/nfs/nt/H7108 on /mnt failed: No route to host
07-13
2. 防火墙阻止了连接:检查防火墙设置,确保允许从你的机器到172.18.1.191的网络连接。如果有防火墙规则限制了流量,你需要相应地进行调整。 3. 路由设置错误:检查你的网络配置,确保路由表中包含到达172.18.1.191...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

疑犯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值