Linux系统安全防护之防火墙

最新推荐文章于 2023-11-20 17:17:52 发布
最新推荐文章于 2023-11-20 17:17:52 发布
阅读量1.9k 收藏 1
点赞数 2
文章标签: 系统安全 linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45490798/article/details/127420540
版权

netfilter工作在主机或网络的边缘,对于进出本主机或网络的报文根据事先定义好的检查规则作匹配检测,对于能够被规则所匹配到的报文做出相应的处理

防火墙的种类:

  • 软件防火墙:软件技术实现数据包过滤

  • 硬件防火墙:硬件设备,实现数据包过滤

防火墙类型:

  • 主机型防火墙:保护自己本机应用程序

  • 网络防火墙:保护内部其他服务器应用程序

软件型防火墙:netfilter是Linux内核自带一个模块,网络过滤器

  • CentOS7系统:默认使用的防火墙管理工具firewalld

  • CentOS6系统:默认使用的防火墙管理工具iptables

firewalld防火墙

  • 管理工具:firewalld-cmd

  • 防火墙预设安全区域

    • public:仅允许访问本机的sshd、DHCP、ping等少量服务

    • trusted:允许任何访问

    • block:拒绝任何来访请求,有明确回应

    • drop:拒绝任何来访请求,没有任何回应(丢弃)

    • #开启防火墙
      [root@localhost ~]# systemctl start firewalld

      #查看默认区域
      [root@localhost ~]# firewall-cmd --get-default-zone
      public

      #修改默认区域
      firewall-cmd --set-default-zone=区域名     

      #将默认区域修改为block
      [root@localhost ~]# firewall-cmd --set-default-zone=block
      success

      [root@localhost ~]# firewall-cmd --get-default-zone
      block

      #将默认区域修改为dorp
      [root@localhost ~]# firewall-cmd --set-default-zone=drop
      success

      [root@localhost ~]# firewall-cmd --get-default-zone
      drop

      #将默认区域修改为public
      [root@localhost ~]# firewall-cmd --set-default-zone=public
      success
      [root@localhost ~]# firewall-cmd --get-default-zone
      public

      #查看区域规则
      firewall-cmd --zone=区域名 --list-all        

      #查看public所有规则
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default    #默认区域
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client   #允许访问的服务
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 
          
      #为public区域添加http协议,使用 --add-service=服务名
      [root@localhost ~]# firewall-cmd --zone=public --add-service=http
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http   #添加http协议
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #为public添加ftp协议
      [root@localhost ~]# firewall-cmd --zone=public --add-service=ftp
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http ftp   #添加ftp协议
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

    • 封网段开服务

    • #若针对永久配置需添加 --permanent
      #使用  -- add-source=网段地址

      #为public区域永久添加http协议
      [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=http
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http ftp
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #为public区域永久添加ftp协议    
      [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ftp
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http ftp
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #永久修改需重新加载防火墙配置
      firewall-cmd --reload
      [root@localhost ~]# firewall-cmd --reload
      success

      #单独拒绝某一个IP
      [root@localhost ~]# firewall-cmd --zone=block --add-source=192.168.0.24
      success
      [root@localhost ~]# firewall-cmd --zone=block --list-all
      block (active)
        target: %%REJECT%%
        icmp-block-inversion: no
        interfaces: 
        sources: 192.168.0.24
        services: 
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #删除规则:--remove-source

      #删除block区域的指定IP
      [root@localhost ~]# firewall-cmd --zone=block --remove-source=192.168.0.24
      success
      [root@localhost ~]# firewall-cmd --zone=block --list-all
      block

      #删除public区域的ftp协议
      [root@localhost ~]# firewall-cmd --zone=public --remove-service=ftp
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http

    • #若针对永久配置需添加 --permanent
      #使用  -- add-source=网段地址

      #为public区域永久添加http协议
      [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=http
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http ftp
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #为public区域永久添加ftp协议    
      [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ftp
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http ftp
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #永久修改需重新加载防火墙配置
      firewall-cmd --reload
      [root@localhost ~]# firewall-cmd --reload
      success

      #单独拒绝某一个IP
      [root@localhost ~]# firewall-cmd --zone=block --add-source=192.168.0.24
      success
      [root@localhost ~]# firewall-cmd --zone=block --list-all
      block (active)
        target: %%REJECT%%
        icmp-block-inversion: no
        interfaces: 
        sources: 192.168.0.24
        services: 
        ports: 
        protocols: 
        masquerade: no
        forward-ports: 
        source-ports: 
        icmp-blocks: 
        rich rules: 

      #删除规则:--remove-source

      #删除block区域的指定IP
      [root@localhost ~]# firewall-cmd --zone=block --remove-source=192.168.0.24
      success
      [root@localhost ~]# firewall-cmd --zone=block --list-all
      block

      #删除public区域的ftp协议
      [root@localhost ~]# firewall-cmd --zone=public --remove-service=ftp
      success
      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http

    • #当有人访问5432端口时,映射到本机的80端口
      [root@localhost ~]# firewall-cmd --zone=public --add-forward-port=port=5432:proto=tcp:toport=80
      success
      #命令解释:
      --add--forward   #添加转发端口
      port=port=5432   #指定转发的端口
      proto=tcp        #指定tcp协议
      toport=80        #指定目标端口

      [root@localhost ~]# firewall-cmd --zone=public --list-all
      public (active)
        target: default
        icmp-block-inversion: no
        interfaces: ens32
        sources: 
        services: ssh dhcpv6-client http
        ports: 
        protocols: 
        masquerade: no
        forward-ports: port=5432:proto=tcp:toport=80:toaddr=
        source-ports: 
        icmp-blocks: 
        rich rules: 

小禹先生
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux系统Firewalld防火墙
weixin_47403076的博客
11-25 121
FirewalldFirewalld简介Firewalld与iptables的区别Firewalld区域区域介绍数据处理过程Firewalld配置方法运行时配置永久配置Firewalld工具firewalld-config图形工具firewalld-cmd命令行工具获取预定义信息区域管理服务管理端口管理两种配置模式 Firewalld简介 1、Firewalld是CentOS7.0默认防火墙工具,CentOS6.0是iptables; 2、防火墙工作在第四层传输层,和端口有关TCP、UDP; 3、大型数据中
Linux防火墙-单机防火墙
LINUX世界的庸人阿甘!
10-18 1485
防火墙的分类1 主机防火墙:服务范围为当前主机 网络防火墙:服务范围为防火墙一侧的局域网 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一 个部分功能基于软件实现,Checkpoint,NetScreen 软件防火墙:运行于通用硬件平台之上的防火墙的应用软件 网络防火墙:OSI下面第三层 应用层防火墙/代理服务器:代理网关,OSI七层2 网络防火墙 包过滤防火墙 网络层对数据包进行选择,
服务器安全防护措施.docx
06-08
服务器安全防护措施全文共7页,当前为第1页。 服务器安全防护措施全文共7页,当前为第1页。 随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、 安全设置 1、 加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT(网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的"网络地址转换"来提供相互间的访问,这样就能极大提高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地服务器安全防护措施全文共7页,当前为第2页。保护好内部网络。 服务器安全防护措施全文共7页,当前为第2页。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对"管理员用户名与密码"定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多"病毒与木马程序",都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了"病毒、木马程序"感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了"病毒与木马程序"的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作"肉鸡",来传播"病毒、恶意插件、木马程序"等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、 二、 漏洞测试 现在很多企业网站做的越来越复杂、功能越来越强大。不过这些都不是凭空而来的,而是通过代码堆积起来的。如果这些代码只供企业内部使用,那么不会带来多大的安全隐患。但是如果放在互联网上对外服务使用的话,这些为实现特定功能的代码,就有可能成为攻击者的目标。 例如:在网页中可以嵌入"SQL代码",而攻击者就可以利用这些"SQL代码"发动攻击,以此进行"获取管理员用户名和密码"等破坏性的操作。有时候访问某些网站,还需要有某些特定的控件,用户在安装这些控件时,其实就有可能是在安装一个木马(可能访问者与被访问者都没有意识到)。 为此在为网站某个特定功能编写代码时,就要主动出击,从代码的设计到编写、再到测试,都需要意识到是否存在着安全漏洞。在日常工作中,在这方面需要对于员工提出较高的要求,各个程序员,必须要对自己所开发的功能负责,已知的"病毒和木马"不能够在其所开发的插件中有机可乘。通过这种层层把关,就可以提高代码编写的安全性。 三、全天候的安全监控 "冰冻三尺,非一日之寒",这就好像"人免疫力下降,导致身体生病"一样,都有一个过程。"病毒、木马"等在攻击服务器时,也需要一个过程。或者说,在攻击取得成功之前,它们会有一些试探性的动作。比如,对于一个采取了一定安全措施的服务器,从攻击开始到取得效果,至少要有半天的时间。网站管理员,要对服务器进行全天候的监控,在发现有异常行为时,及早的采取措施,将病毒与木马阻挡在门户之外。这种"主动出击"的防御方式,可以极大地提高了服务器的安全性。 专门设有一个小组,来全天候的监控服务器的访问,平均每分钟都可以监测到一些试探性的攻击行为。其中99% 以上的攻击行为,由于服务器已经采取了对应的安全措施,结果都无功而返。不过,每天仍然还是会遇到一些攻击行为,这些攻击行为可能是针对新的漏洞,或者采取了新的攻击方式。如果在服务器上原先没有采取对应的安全措施,或者没有及时的发现这种行为,那么这些攻击就很有可能最终达到他们的非法目的。相反,如果及早的发现了他们的攻击手段,那么我们就可以在他们采取进一步
防火墙详解
这是一个爱吃火鸡味锅巴女孩的博客
07-05 6010
53 张图详解防火墙的 55 个知识点
@linux --firewalld防火墙概述
ଲ一笑奈@何
04-01 406
firewalld防火墙 一、防火墙安全概述 在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Fir
华为防火墙安全,反病毒、入侵防御、URL过滤 等
最新发布
2301_77023501的博客
11-20 1276
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽,有些病毒会控制主机权限、窃取数据,有些病毒甚至会对主机硬件造成破坏。反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。介绍入侵防御特性的定义和目的。
firewalld:禁ping设置
刘元林的博客
01-12 9903
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
centos7防火墙设置
fat_fat的博客
04-19 284
打开1000端口示例:#查看接口所属区域[fuyouwei@localhost 下载]$ firewall-cmd --get-zone-of-interface=wlp4s0public#在public上开启端口10000/tcp[fuyouwei@localhost 下载]$ firewall-cmd --permanent --zone=public --add-port=10000/tcp...
Linux系统防火墙firewalld
云计算运维工程师的成长之路
09-17 1054
防火墙是,取代了之前的iptables防火墙,也是工作在,属于。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都(属于内核态)来交现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。和。
[Linux防火墙]一文学会防火墙概念及常用命令
喜欢水星记的博客
05-13 709
防火墙Linux重要应用,一文概括Linux防火墙常用命令
Linux ❀ 配置Linux操作系统不响应ICMP报文(防火墙放行/关闭情况下仍生效)
无糖可乐没有灵魂
06-09 2839
文章目录1、设置防火墙不拦截ICMP报文2、修改Linux主机不响应ICMP报文3、展示拦截效果 1、设置防火墙不拦截ICMP报文 [root@localhost ~]# firewall-cmd --add-protocol=icmp success [root@localhost ~]# firewall-cmd --reload success [root@localhost ~]# firewall-cmd --list-all public (active) target: default
Linux密码安全防护操作详解
09-15
最后,学习和理解这些安全防护措施是非常必要的,它们可以帮助我们更好地保护Linux系统,避免不必要的数据损失或系统被非法访问。同时,持续关注最新的安全技术和威胁,以便随时更新我们的防护策略,保持系统安全
操作系统安全:现有的Linux安全级别及防护.pptx
06-04
Linux的安全防护;Linux安全机制;PAM机制;PAM功能;入侵检测技术;入侵检测检测;加密文件系统;强制访问控制;防火墙;安全防护
系统安全-pdf文件教程
06-25
首先,让我们来看看**Linux系统安全**。Linux作为一个开源的操作系统,其安全性相较于封闭式系统有着天然的优势。然而,任何系统都需要妥善配置和管理以保持安全。这包括设置适当的权限、使用防火墙、定期更新软件...
Linux下集成Iptables与Snort构筑安全防护体系
07-04
防火墙与入侵检测系统集成使用进行网络防护,顺应了网络安全发展的需要,弥补了两者的不足之处。文章在详细地阐述网络入侵检测系统Snort和防火墙Iptables扩展机制的基础上,描述了两者联动的设计和实现,并对其安全性...
如何做好Linux病毒系统的防护.pdf
09-06
Linux操作系统环境中,尽管其设计的安全性相对较高,但...总的来说,Linux系统的安全性虽然相对较高,但并不能完全免疫病毒。通过综合运用上述防护措施,可以显著提高Linux系统的抗病毒能力,保障系统的稳定运行。
linux服务篇-Firewalld服务
太极淘的博客
05-18 3892
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络。是指设置在不同网
centos的防火墙配置
10-19 2433
一、防火墙 1.1 什么是防火墙防火墙是借助硬件和软件于内网和外网之间产生一种保护的屏障,所有的网络数据都必须经过防火墙防火墙可以作为防护,通过配置策略对数据流量进行管理。 1.2 版本使用说明 centos4/5/6版本 防火墙管理工具:用的是iptables centos7/8 防火墙管理工具:用的是firewalld iptable也是存在的 管理工具的作用:配置规则 规则的添加,删除,或者修改。都是工具来完成的 二、了解firewalld服务 启动防火墙服务 systemctl start
防火墙规则
givenchy_yzl的博客
05-31 6122
firewalld防火墙 一、防火墙安全概述 在CentOS7系统中集成了多款防火墙管理工具,**默认启用的是firewalld(动态防火墙管理器)**防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习F
linux操作系统chpLinux系统安全.pptx
11-13
Linux系统安全涉及多个层面,从基础的安全设置到高级的防护策略,都需要专业人员的管理和维护。通过教育用户、强化安全意识、实施严格的安全政策和采用先进的安全技术,可以有效地保护Linux系统免受各种威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小禹先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值