firewall安全策略

最新推荐文章于 2024-05-02 13:10:33 发布
最新推荐文章于 2024-05-02 13:10:33 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: linux 安全 文章标签: firewall 防火墙 centos7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy1098029419/article/details/79210220
版权

firewall安全策略

 

Firewall代替iptables有更加人性化的操作方式,使得防火墙规则的配置变得非常的简单。Firewall可以简单地使用

 

firewall-cmd --permanent --add-port=80/tcp

 

 

 

 

 

开放一个端口,但是很快发现这个格式并不能设置请求来源的IP。查阅很多资料发现如下命令

 

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=122.x.x.234 port port=80 protocol=tcp accept'

 

 

 

 

 

该命令中address可以指定开放的IP,protocol指定协议类型,family指定IP协议。

 

配置文件修改规则

我个人并不喜欢使用命令行形式来定义规则,所有我推荐使用直观可见的配置文件形式。Firewall所有空间(zone)的规则都以且只以/etc/firewall/zones/下的xml文件配置为准,当我们使用命令行时,firewall会自动在该目录下添加配置。这里以public作为例子。

public.xml:

<zone>    
    <short>Public</short>    
    <description>....</description>    
    <service name="dhcpv6-client"/>    
    <service name="ssh"/>    
    <port protocol="tcp" port="10086"/>  
</zone>

 

 

 

 

 

 

这里<port/>标签表示允许所有10086端口的请求通过。若需要限制IP可以使用<rule/>

 

<zone>    
    <short>Public</short>
    <description>....</description>
    <service name="dhcpv6-client"/>
    <service name="ssh"/>
    <rule family="ipv4">
        <source address="192.168.1.1/24"/>
         <port protocol="tcp" port="10086"/>
        <accept/>
    </rule>
    <rule family="ipv4">
        <source address="127.0.0.1"/>
        <port protocol="tcp" port="10086"/>
        <accept/>
    </rule>
</zone>

 

 

 

 

 

Rule中familly表示IP协议类型;

source的address指定IP,可以使用单IP和网关形式

Port表示端口号

<accept/>表示允许,可以更换为<drop/>

 

使用Service管理规则

对于小型的服务器需求,如上的配置已经可以满足需求;在需求比较复杂的服务器上,可能会出现如下情况:

 

 

 

<zone>
    <short>Public</short>
    <description>....</description>
    <service name="dhcpv6-client"/>
    <service name="ssh"/>
    <rule family="ipv4"> 
       <source address="192.168.1.1/24"/>
       <port protocol="tcp" port="1"/>
       <accept/>          
    </rule>          
    <rule family="ipv4">
        <source address="IP2"/>
        <port protocol="tcp" port="1"/>
        <port protocol="tcp" port="2"/>
        <accept/>
     </rule>
    <rule family="ipv4">
        <source address="IP3"/>
        <port protocol="tcp" port="1"/>
        <port protocol="tcp" port="2"/>
        <port protocol="tcp" port="3"/>
        <port protocol="tcp" port="4"/>
        <accept/>
    </rule>
  .......................................................  .......................................................
</zone>

 

 

 

 

 

 

若此时我们的项目需要将端口1改为端口5,我们只有修改每一条rule的规则,并且多次检查防止出现错误。Firewall也考虑到了这一点,它可以使用service将这些规则进行统一的管理和维护。

Firewall拥有很多预定义的service,它们放在/usr/lib/firewall/service/目录下,当我们需要添加新的service时,可以参照已有的模板。下面是ssh服务的service配置:

 

<?xml version="1.0" encoding="utf-8"?>
  <service>
    <short>SSH</short>
    <description>ssh</description>
    <port protocol="tcp" port="22"/>
  </service>


         

 

 

该service配置了tcp的22端口,当我们需要给该service配置多个port时,只需要添加多个<port/>标签即可。

test1.xml:

 

<service>
    <short>test1</short>
    <description>test1</description>
    <port protocol="tcp" port="1"/>
    <port protocol="tcp" port="2"/>
 </service>

 

 

 

 

 

test2.xml

 

<service>

  <short>test2</short>

  <description>test2</description>

  <port protocol="tcp" port="3"/>

  <port protocol="tcp" port="4"/>

</service>


 

 

配置好service后,我们重新配置public.xml。

 

<zone>
    <short>Public</short>
    <description>....</description>
    <service name="dhcpv6-client"/>
    <service name="ssh"/>
    <rule family="ipv4">
        <source address="192.168.1.1/24"/>
        <port protocol="tcp" port="1"/>
        <accept/>
    </rule>
    <rule family="ipv4">
        <source address="IP2"/>
        <service name=”test1”/>
        <accept/>
     </rule>
    <rule family="ipv4">
        <source address="IP3"/>
        <service name=”test1”/>
        <service name=”test2”/>
        <accept/>
        </rule>
  .......................................................  .......................................................
</zone>

 

 

 

 

 

此时若想将test1的1端口改为4,只需要修改/usr/lib/firewall/service/test1.xml文件配置即可,没必要修改每一个rule。

 

PS:若/etc/firewall/zones/下没有xml文件,可以在/usr/lib/firewall/zones/中找到默认配置,你可以在这里面找到所有zone的默认配置,若想修改它,只需要将对应的xml文件复制到/etc/firewall/zones/下并且修改即可。

 

PS: 一切修改完成后,需要使用firewall-cmd --reload重新加载。

圆圆同学
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall-cmd常用命令
weixin_47467938的博客
01-21 6325
firewall-cmd常用命令 #开启防火墙 systemctlstartfirewalld.service #防火墙开机启动 systemctlenablefirewalld.service #关闭防火墙 systemctlstopfirewalld.service #查看防火墙状态 firewall-cmd--state #查看现有的规则 iptables-nL firewall-cmd--zone=public--list-ports #重载防火墙配置 firewall-cmd--reload #添
firewall-cmd防火墙策略
weixin_53389944的博客
05-29 771
开机自启firewalld:systemctl enable firewalld。启动firewalld: systemctl start firewalld。关闭 firewalld: systemctl stop firewalld。不执行 firewall-cmd --reload 命令配置不生效。重载firewalld:firewall-cmd -reload。查看防火墙策略:firewall-cmd --list-all。--permanent 永久生效,重启后规则不消失。针对某个IP开放端口。
firewall-cmd 富规则 rich-rule
最新发布
更多内容查看博客描述。
05-02 979
至于使用DROP还是REJECT更合适一直未有定论,因为的确二者都有适用的场合。因为DROP虽然单方面的中断了连接,但是并不返回任何拒绝信息,因此连接客户端将被动的等到tcp session超时才能判断连接是否成功,这样早企业内部网络中会有一些问题,例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413),如果防火墙未经通知的应用了DROP规则的话,所有的同类连接都会失败,并且由于超时时间,将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。
防火墙策略管理firewall-1
weixin_33862188的博客
11-01 237
防火墙策略管理(firewall) 作用:隔离,管理 入站 出站系统服务: firewalld管理工具: # firewall-cmd # 命令 # firewall-config # 图形查看防火墙服务状态: # systemctl status firewalld根据所在的网络场所区分,预设保护规则集public...
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd命令
weixin_42326851的博客
05-24 7870
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd常用命令
Firewalld 用法解析
weixin_30879169的博客
11-03 687
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
linux防火墙命令
weixin_44240141的博客
07-05 1076
查看防火墙所有开放的端口 firewall-cmd --zone=public --list-ports 开放端口命令 firewall-cmd --zone=public --add-port=端口号/tcp --permanent 如:firewall-cmd --zone=public --add-port=3306/tcp --permanent重载防火墙(即可立刻生效) firewall-cmd --reload 查看防火墙状态 firewall-cmd --state 防火墙重启 firew
可当firewall安全策略
03-24
3、右击右侧窗口,选择“所有任务-导入策略”,然后选择借压缩后的firewall.ipsec 4、如果右侧窗口出现了“常用安全策略禁用不必要的端口”项,则表示导入成功。 5、在已经导入的策略上单击右键指派该...
防火墙安全策略巡检报告.pdf
11-27
防火墙安全策略巡检报告 防火墙安全策略巡检报告是信息安全中的重要组成部分,该报告旨在对防火墙安全策略进行评估和分析,以确保防火墙安全策略符合信息安全的要求。下面是该报告的详细知识点: 第一章 概述 ...
IP安全策略
09-17
3、右击右侧窗口,选择“所有任务-导入策略”,然后选择借压缩后的firewall.ipsec 4、如果右侧窗口出现了“常用安全策略禁用不必要的端口”项,则表示导入成功。 5、在已经导入的策略上单击右键指派该...
FUNDAMENTOS DE FIREWALL.pdf
10-06
根据维基百科的定义,Firewall 是一种网络安全设备,位于计算机网络的某个点上,应用安全策略,以保护网络免受外部攻击和未经授权的访问。 Firewall 的类型包括: 1. Packet Filtering Firewall:这种 Firewall ...
IP安全策略包(可以当防火墙用)
02-22
3、右击右侧窗口,选择“所有任务-导入策略”,然后选择借压缩后的firewall.ipsec 4、如果右侧窗口出现了“常用安全策略禁用不必要的端口”项,则表示导入成功。 5、在已经导入的策略上单击右键指派该策略,确定 ...
firewalld命令常见配置
lmq1993的博客
03-17 686
一、常规配置方法: 1、端口限制 1)放开UDP 161/162端口 firewall-cmd --permanent --zone=public --add-port=161/udp firewall-cmd --permanent --zone=public --add-port=162/udp –permanent 永久生效 firewall-cmd --reload //更新防火墙规则 2)禁用UDP 161/162端口 firewall-cmd --permanent --zone=public
linux防火墙配置
gmj53的专栏
09-03 321
开放端口 firewall-cmd --permanent --zone=public --add-port=8080/tcp #批量开发端口 firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp 删除某个端口 firewall-cmd --permanent --zone=public --remove-port=81/tcp 针对某个 IP开放端口 firewall-cmd --permanent --add-rich-rul
Firewald 防火墙使用手册
qq_40907977的博客
02-08 333
1、添加黑名单 firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.0.23" drop' 然后reload一下firewall firewall-cmd --reload 2、添加 端口白名单 查看下防火墙的状态:systemctl status firewalld 需要开...
防火墙firewall-cmd
slwsss的专栏
12-25 252
firewall-cmd --list-all #查看防火墙 firewall-cmd --state #状态 firewall-cmd --list-ports #查看开放的端口 firewall-cmd --query-port=80/tcp #查看 firewall-cmd --permanent --add-port=80/tcp #添加端口 firewall-cmd --permanent --remove-port=80/tcp #关闭端口 firewall-cmd --reload #重新载入
firewall-cmd 命令使用
weixin_43873210的博客
04-16 439
1.开放端口 firewall-cmd --add-port=80/tcp 永久生效加上选项–permanent,如下 firewall-cmd --add-port=80/tcp --permanent
防火墙firewall-cmd命令
热门推荐
花语无痕的博客
11-02 3万+
防火墙状态及规则 1、查看防火墙状态:firewall-cmd --state [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 2、查看防火墙firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no
防火墙管理命令 firewall-cmd 富规则
Aogsk -- Hello Welcome
07-29 3207
Firewalld防火墙富规则
4模块4:云端IPS-IDS防护1
08-04
:copyright: 2021, Amazon Web Services, Inc. or its Affiliates.Security Day—云端IPS/IDS防护Netw

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值