firedwalld防火墙基础配置命令相关

防火墙相关

firewalld

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式:
1.运行时配置:临时命令在重启前有效,重启后清空
2.永久配置:配置命令只有在重启后才能生效
在这里插入图片描述

firewalld与iptables

netfilter

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”(面向硬件)

Firewalld和iptables

CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”(面向用户)
在这里插入图片描述

firewalld和iptables的区别

在这里插入图片描述

firewalld相关

firewalld网络区域

区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口(网络接口—网卡)
默认情况下,public区域是默认区域,包含所有接口(网卡)
在这里插入图片描述

firewalld数据处理流程

检查数据来源的源地址
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

外部流量效果:源地址是否关联
网卡的所属区域
源地址关联(1)优先级大于网卡关联(2,3)优先级

firewalld防火墙配置方法

运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置(临时有效,重新加载失效)

永久配置

不立刻生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 (永久有效,前提是需要重新加载)

firewall-config图形工具

systemctl start firewalld #开启防火墙
在这里插入图片描述
在这里插入图片描述

应用解析

配置:运行时配置和永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态

区域下选项卡

服务:子选项卡(激活的区域以粗体显示,存在网卡,地址)
端口:子选项卡(添加的协议,端口)
协议:子选项卡
源端口:子选项卡(开放端口范围)
伪装:子选项卡 (nat)
端口转发:子选项卡
ICMP过滤器:子选项卡

服务下选项卡

模块:子选项卡
目标地址:子选项卡

firewalld区域分类

firewalld将网卡对应到不同的区域(zone),zone默认共有9个
分别是:block、dmz、drop、external、home、internal、public、trusted、work
1.drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。
2.block(限制)
任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。
3.pubic(公共)
在公共区域内使用,不能相信网络内的其它计算机不会对您的计算机造成危害,只能接收经过选取的连接。
4.external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
5.dmz(非军事区)
用于您的非军事区的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
6.work(工作)
用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑,仅仅接收经过选择的连接。
7.home(家庭)
用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。
8.internal(内部)
用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接
9.trusted(信任)
可接受所有的网络连接。

/etc/firewalld/中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

firewall-cmd命令行工具

用法

显示可以使用容易理解的名称表示的所有服务
ls /usr/lib/firewalld/services
在这里插入图片描述
查看支持的所有的服务名称
firewall-cmd --get-services
在这里插入图片描述
查看所有区域
firewall-cmd --get-zones
在这里插入图片描述
查看当前默认区域
firewall-cmd --get-default-zone
在这里插入图片描述
查看当前指定网卡所处的区域
firewall-cmd --get-zone-of-interface=ens33
在这里插入图片描述
查看指定区域中有没有相关的服务开放
查看public(默认)区域中有没有ssh服务开启(yes/no)
firewall-cmd --zone=public --query-service=ssh
查看public(默认)区域中有没有ssh服务开启(yes/no)
firewall-cmd --zone=public --query-service=dns
查看public(默认)区域中有没有ssh服务开启(yes/no)
firewall-cmd --zone=public --query-service=dhcp
查看public(默认)区域中有没有ssh服务开启(yes/no)
firewall-cmd --zone=public --query-service=ftp
在这里插入图片描述
查看当前区域开放的服务
firewall-cmd --list-services
若是不指定区域,默认与当前网卡区域一样默认区域
在这里插入图片描述
查看所有区域开放的服务
firewall-cmd --list-all-zones
在这里插入图片描述
查看指定区域开放的服务
查看public(默认)区域开放的服务
firewall-cmd --list-services --zone=public
查看home区域开放的服务
firewall-cmd --list-services --zone=home
查看dmz区域开放的服务
firewall-cmd --list-services --zone=dmz
在这里插入图片描述
查看指定区域开放的详细服务
查看public(默认)区域中开放的详细服务
firewall-cmd --list-all --zone=public
在这里插入图片描述
防火墙重启
firewall-cmd --reload
在这里插入图片描述

设置访问和放行端口

在区域增加http服务

1.原
在这里插入图片描述
在这里插入图片描述
在public区域开启http服务,永久配置
在这里插入图片描述
验证
在这里插入图片描述2.添加服务的端口号,协议
查看http的端口号
netstat -anpt | grep http
在这里插入图片描述
永久配置,区域public中的服务端口80
firewall-cmd --permanent --zone=public --add-port=80/tcp
在这里插入图片描述重启
firewall-cmd --reload
查看
firewall-cmd --list-all --zone=public
在这里插入图片描述

删除区域里开放的服务

删除默认区域的http
firewall-cmd --permanent --zone=public --remove-service=http
重启
firewall-cmd --reload
查看
firewall-cmd --list-all --zone=public
在这里插入图片描述

临时配置形式进行删除端口号添加服务配置

运行时配置:临时命令在重启前有效,重启后清空
firewall-cmd --zone=public --remove-port=80/tcp
在这里插入图片描述

为网卡配置区域

为新的网卡配置区域

cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens37
vi ifcfg-ens37
在这里插入图片描述
在这里插入图片描述
查看新网卡所在区域
firewall-cmd --get-zone-of-interface=ens37
在这里插入图片描述
firewall-cmd --list-all --zone=internal
在这里插入图片描述

通过指定区域对应网卡

firewall-cmd --permanent --zone=external --change-interface=ens37
systemctl stop NetworkManager
firewall-cmd --reload
firewall-cmd --get-zone-of-interface=ens37
在这里插入图片描述

配置拒绝服务设置

禁止访问public区域

irewall-cmd --zone=public --add-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all --zone=public
在这里插入图片描述
在这里插入图片描述

删除禁止访问区域public设置

firewall-cmd --zone=public --remove-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all --zone=public
在这里插入图片描述
在这里插入图片描述

指定主机禁止ssh登录访问区域

在20.0.0.20上ssh登录20.0.0.10
在这里插入图片描述
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.20/32” service name=“ssh” reject”
firewall-cmd --reload
firewall-cmd --list-all --zone=public
在这里插入图片描述
再次登录
在这里插入图片描述

设置默认区域

firewall-cmd --set-default-zone=home #设置默认区域为home
在这里插入图片描述
激活
firewall-cmd --zone=home --add-source=20.0.0.20/32
在这里插入图片描述

查看活动区域及端口

firewall-cmd --get-active-zones
在这里插入图片描述

firewalld项目

项目环境及需求描述

禁止主机ping服务器
只允许20.0.0.20主机访问SSH服务器
允许所有主机访问Apache服务
在这里插入图片描述

流程

1.禁止主机ping服务器
firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all
在这里插入图片描述
效果
在这里插入图片描述
2.只允许20.0.0.10主机访问SSH服务器
设置只有区域public配置20.0.0.10/32用户,关联20.0.0.10地址可登录SSH服务
firewall-cmd --list-all #查看默认
firewall-cmd --zone=public --add-source=20.0.0.10/32 --permanent #设置只有区域public配置20.0.0.10/32用户
firewall-cmd --set-default-zone=home #设置默认为home
firewall-cmd --change-interface=ens33 --zone=home --permanent#设置网卡ens33关联默认区域home
systemctl stop NetworkManager
firewall-cmd --reload
在这里插入图片描述
firewall-cmd --zone=home --remove-service=ssh --permanent #删除home区域关联的SSH服务
firewall-cmd --reload
firewall-cmd --list-all
在这里插入图片描述
在这里插入图片描述允许20.0.0.10用户访问SSH服务
firewall-cmd --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.10” service name=“ssh” accept”
firewall-cmd --list-all --zone=public
在这里插入图片描述在20.0.0.10主机访问SSH服务器
在这里插入图片描述
在20.0.0.30主机访问SSH服务器
在这里插入图片描述
3.允许所有主机访问Apache服务
yum -y install httpd #安装
echo “nice” > /var/www/html/index.html #配置网页服务
systemctl start httpd#开启http服务
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=home --add-port=80/tcp --permanent
firewall-cmd --reload #重启允许所有主机访问apache
在这里插入图片描述
在这里插入图片描述

已标记关键词 清除标记
课程简介: 历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
©️2020 CSDN 皮肤主题: 游动-白 设计师:上身试试 返回首页