Firewalld基础配置+项目测试

最新推荐文章于 2024-07-25 13:33:06 发布
最新推荐文章于 2024-07-25 13:33:06 发布
阅读量214 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50344814/article/details/109750711
版权

目录

1、Firewalld概述

■ Firewalld
● 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
● 支持IPv4、IPv6防火墙设置以及以太网桥
● 支持服务或应用程序直接添加防火墙规则接口
● 拥有两种配置模式
◆ 运行时配置 (直到重启后,会自动清空)
◆ 永久配置 (重启后,配置才能生效)

2、Firewalld和iptables的关系

■ netfilter
● 位于Linux内核中的包过滤功能体系
● 称为Linux防火墙的"内核态’
■ Firewalld/iptables
● CentOS7默认的管理防火墙规则的工具(Firewalld)
● 称为Linux防火墙的"用户态”
■ Firewalld和iptables的区别
在这里插入图片描述

3、Firewalld网络区域

■ 区域介绍
● 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
● 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
● 默认情况下,public区域是默认区域,包含所有接口(网卡)
■ Firewalld数据处理流程
● 检查数据来源的源地址
◆ 若源地址关联到特定的区域,则执行该区域所指定的规则
◆ 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
◆ 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

3.1、firewalld 区域(zone)

■ drop (丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
■ block (限制)
任何接收的网络连接都被IPv4 的icmp-host- prohibited 信息和IPv6的icmp6- adm- prohibited 信息所拒绝。
■ public (公共)
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
■ external (外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
■ dmz (非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
■ work (工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
■ home (家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
■ internal (内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
■ trusted (信任)
可接受所有的网络连接。指定其中一个区域为默认区域是可行的。当接口连接加入了NetworkManager, 它们就被分配为默认区域。
不同的区域之间的差异是其对待数据包的默认行为不同,在Cent0S7系统中,默认区域被设置为public.

4、Firewalld防火墙的配置方法

■ 运行时配置
● 实时生效,并持续至Firewalld重新启动或重新加载配置
● 不中断现有连接
● 不能修改服务配置
■ 永久配置
● 不立即生效,除非Firewalld重新启动或重新加载配置
● 中断现有连接
● 可以修改服务配置
■ Firewall-config图形工具
■ Firewall-cmd命令行工具
■ /etc/firewalld/中的配置文件
● Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
◆ /etc/firewalld/ :用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
◆ /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/ 中的配置

5、Firewall-config图形工具

■ 运行时配置/永久配置
■ 重新加载防火墙
● 更改永久配置并生效
■ 关联网卡到指定区域
■ 修改默认区域
■ 连接状态
■ “区域” 选项卡
●“服务”子选项卡
●“端口”子选项卡
●"协议”子选项卡
●"源端口” 子选项卡
●"伪装”子选项卡
●"端口转发” 子选项卡
●"ICMP过滤器” 子选项卡
■ “服务” 选项卡
●"模块”子选项卡
●“目标地址”子选项卡

6、firewalld基础命令

● ls  /usr/lib/firewalld/services   //可以使用容易理解的名称表示的所有服务.
● firewall-cmd --get-services    //查看支持的所有服务名称
● firewall-cmd --get-zones //查看所有区域
● firewall-cmd --get-default-zone //查看当前默认区域
● firewall-cmd --get-zone-of-interface=ens33 //查看指定网卡所处的区域
● firewall-cmd -- zone=
最低0.47元/天 解锁文章
繁星若渺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业级LINUX应用服务器配置案例
09-19
2. **系统基础配置**:首先,要进行系统更新和安全配置,包括设置防火墙(如iptables或firewalld),关闭不必要的服务,启用Selinux以增强安全性,并确保系统时间同步(通过NTP服务)。 3. **用户与权限管理**:...
firewalld详解
爱死亡机器人
03-16 837
firewalld (1)我应该选用哪个区域? 例如,公共的 WIFI 连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。 如何配置或者增加区域? 你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具,以及D-...
Firewalld防火墙基础
w1251427056的博客
06-11 679
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
测试基础+性能测试+自动化测试面试题(含答案)
weixin_60870637的博客
09-21 1468
面试题
0908 虚拟机IP修改+MariaDB数据库配置+项目部署发布
qq_43765881的博客
09-09 480
基础本机部署原理 反向代理机制 用户只知道nginx服务器可以获得数据 保证了真实服务器的安全 湾仔码头大佬->服务器 小弟->nginx服务器 Linux原理 目的:复刻整个京淘项目流程 用Linux发布并成功回显图片 ip配置 ip 1.2.4Vi/vim创建/查看/编辑文件 命令行:Esc切换到命令行模式。 编辑模式: 按i,在光标前开始编辑 按a,在光标后开始编辑 按o,在当前行的下一行开始编辑 按u, 撤销之前的操作 底行模式:按 shift+:冒号。 :q! 不保存退出
配置-Postgresql+Postgis安装+Django连接测试
IT笔记
04-05 883
配置-Centos7安装PostgreSQL 14.2+Postgis centos7.9起开桌面root登录 vi /etc/gdm/custom.conf [daemon] AutomaticLoginEnable=True AutomaticLogin=root ---------------------------------------------------------------------------------- centos7 yum切换清华源 sudo sed -e 's|^mirro
Linux——Firewall防火墙(firewalld与iptables两种管理方式)_firewalld 旁路由 透明代理
m0_61943758的博客
04-26 931
经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
Rocky Linux安装与基础配置
Lzcsfg的博客
06-06 1465
Rocky Linux 是一个开源的、由社区驱动的操作系统,旨在使用 Red Hat Enterprise Linux(RHEL)源码构建的下游二进制兼容发行版。
运维部署项目测试环境准备
weixin_47242801的博客
03-30 823
数据服务器:redis分布式6 8core 64G 1T;客户端-互联网-域名解析-防火墙-负载均衡组心跳检测-内网交换-应用服务组-内网交换机-内存型数据库缓存-持久化磁盘型数据库-静态资源NFS文件系统;sed -i ‘/^SELINUX=/c SELINUX=disabled’ /etc/selinux/config #关闭selinux内核安全机制。swapoff -a && sed -i ‘/swap/d’ /etc/fstab #关闭虚拟内存使用和模糊匹配清除挂载信息。
OpenStack必备基础理论+基础环境搭建
与之二三事、
08-23 897
目录1. 云计算三种服务模型1.1 laaS(基础架构即服务)]1.2 PaaS (平台即服务)1.3 SaaS (软件即服务)2. openstack概述2.1 openstack优势2.2. openstack组件3. openstack架构3.1 设计原则3.2 概念架构3.3 逻辑架构3.4 物理架构3.5 组件之间的关系 1. 云计算三种服务模型 1.1 laaS(基础架构即服务)] 提供底层IT基础设施服务,包括处理能力、存储空间、网络资源(比如迅雷)等 面向对象一般是IT管理人员 1.2 Pa
阿里云服务器部署WEB项目全攻略,亲测有效
10-17
阿里云服务器部署Web项目是一个常见的任务,涉及到的关键技术包括远程连接、操作系统环境配置、Web服务器和数据库的安装与配置。以下是对这些知识点的详细说明: 1. **SSH工具使用**: - SSH(Secure Shell)是一...
mysql安装配置教程.txt
07-22
### MySQL安装配置教程知识点 ...通过以上步骤,用户可以顺利完成MySQL数据库的安装和基本配置,为后续的应用开发打下坚实的基础。同时,需要注意维护数据库的安全性和稳定性,确保数据的可靠性和完整性。
高效安装与配置RabbitMQ:CentOS 7系统下的完全指南
12-20
如果遇到无法访问的问题,可能需要检查防火墙设置,可以暂时关闭防火墙测试,如使用`systemctl stop firewalld`命令。 RabbitMQ的权限管理分为用户和虚拟主机(Virtual Hosts)。默认情况下,RabbitMQ有一个内置的`...
Linux相关指令
最新发布
m0_46502962的博客
07-25 124
其中的-lpthread不是必须的,只有用到该库才输入加上。//该指令将demo.c生成的a.out文件命名为demo8。//将运行结果放到test.ret.txt文件中,没有就创建。1.查看手册 man 3 free。将该运行程序放到后台运行。③(gbd)r 运行。④(gbd)q 退出。
Linux 某进程 CPU 高问题,用 Shell 脚本发现处理
Richardlygo的博客
07-24 418
首先,我们需要编写一个Shell脚本来发现系统中CPU使用率最高的进程。分析原因:在采取任何行动之前,分析高CPU使用率的原因,可能是代码问题、资源争用或其他因素。优化和调整:根据分析结果,对系统或应用程序进行优化和调整,以避免类似问题的再次发生。记录日志:在脚本中添加日志记录功能,记录高CPU使用率的进程信息,以供后续分析。语句判断该进程的CPU使用率是否超过设定的阈值,并输出相应的信息。在发现高CPU使用率的进程后,我们需要决定如何处理它。获取进程CPU使用率:对上一步获取的进程ID使用。
Linux】管道通信和 system V 通信
Front123456的博客
07-24 786
因为它们的第一个字段 ipc_perm 是一样的,所以可以维护一个 struct ipc_perm* 的指针数组,存共享内存、消息队列、信号量它们三者中,第一个元素的地址,也就是 &ipc_perm。这样就可以把共享内存、消息队列和信号量三个部分直接管理起来了。而我们知道结构体的第一个成员的地址和结构体对象的地址在数值上是相同的,并且操作系统在内部可以识别这个对象是共享内存、消息队列和信号量中的哪一个,因此我们拿到这个数组中的 ipc_perm 地址便能访问这结构体的其它成员,将它们管理起来
linux firewalld防火墙配置
04-29
下面是一些常见的 firewalld 配置命令: 1. 启用 firewalld 服务: ``` systemctl start firewalld ``` 2. 设置 firewalld 服务开机自启: ``` systemctl enable firewalld ``` 3. 停止 firewalld 服务: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值