Firewalld防火墙

Firewalld防火墙

物理服务器安全
        硬件层面: ab电源  机柜上锁  温度 ......
        系统层面: 远程登录(限制root/调整端口)  权限   sudo    弱口令
        网络层面: 所有内网主机没有公网IP    端口限制( 22 80 443 )   DDOS--> 高防设备
        web层面:  http->https  防爬虫  防盗链   waf (nginx+lua)   

云主机服务器安全
    硬件层面:  无需考虑---> kvm虚拟化
    系统层面:  云盾 安骑士  ---> 云安全中心(收费)  SSH
    网络层面:  安全组(firewalld|iptables)     云防火墙集中管理公网的策略
    服务层面:  nginx  mysql redis   --->弱口令
    web层面:   HTTPS  高防IP  WAF防火墙
    数据层面:  数据备份与恢复演练
    
想说的话 写下来--->进行增删改查----------------------------------------------------------------

2.硬件架构、云架构等安全如何实现?

3.Firewalld防火墙基本概述?
4.Firewalld防火墙区域管理?



eth0 eth0  --> A

eth0 --> A
eth1 --> B


[root@oldboy-m01 ~]# firewall-cmd --get-default-zone     #当前默认的区域
public    
[root@oldboy-m01 ~]# firewall-cmd --list-all            #区域的规则明细


3.使用firewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许。
[root@oldboy-m01 ~]# firewall-cmd --remove-service=ssh
success
[root@oldboy-m01 ~]# firewall-cmd --add-source='10.0.0.1/32' --zone=trusted
success
[root@oldboy-m01 ~]# firewall-cmd --reload   #重载

5.Firewalld端口、服务规则配置?
[root@oldboy-m01 ~]# firewall-cmd --add-port=80/tcp                            #放行端口
[root@oldboy-m01 ~]# firewall-cmd --remove-port=80/tcp                        #移除端口
[root@oldboy-m01 ~]# firewall-cmd --add-port=8080-8088/tcp                    #添加多个连续的端口
[root@oldboy-m01 ~]# firewall-cmd --add-port={80/tcp,83/tcp,84/tcp}            #添加多个不连续的端口

放行服务 实际还是对应的 端口
[root@oldboy-m01 ~]# firewall-cmd --add-service=http
[root@oldboy-m01 ~]# firewall-cmd --add-service=zabbix-server
[root@oldboy-m01 ~]# firewall-cmd --remove-service=zabbix-server

所有的服务定义
[root@oldboy-m01 ~]# ll /usr/lib/firewalld/services/

-------------------------------------------------------------------------------------------
端口转发  NAT
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
[root@oldboy-m01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
[root@oldboy-m01 ~]# firewall-cmd --list-all
[root@oldboy-m01 ~]# firewall-cmd --add-masquerade

10.0.0.1:4567 -->  10.0.0.61:5555    --> 172.16.1.61:6789   --->  172.16.1.7:22
172.16.1.7:22 -->  172.16.1.61:6789  --> 10.0.0.61:5555     --->  10.0.0.1:4567


6.Firewalld富规则配置示例?

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop


1.比如允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问10050端口
firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" service name="http" accept'
firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" port port="10050" protocol="tcp" accept'

2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" service name="ssh" drop'

3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@oldboy-m01 ~]# firewall-cmd --add-service=http
[root@oldboy-m01 ~]# firewall-cmd --add-service=https
[root@oldboy-m01 ~]# firewall-cmd --remove-service=ssh

[root@oldboy-m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" service name=ssh accept'

4.当用户来源IP地址是10.0.0.1主机,则将用户请求的6666端口转发至后端172.16.1.7的22端口
[root@oldboy-m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1" forward-port port="6666" protocol="tcp" to-port="22" to-addr="172.16.1.7"'




7.Firewalld实现内部主机共享上网?

    1.firewalld开启NAT转发?
    [root@oldboy-m01 ~]# firewall-cmd --add-masquerade --permanent
    [root@oldboy-m01 ~]# firewall-cmd --reload

    2.客户端发送数据包,需要发给firewalld服务器?
    [root@web01 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
    TYPE=Ethernet
    BOOTPROTO=none
    NAME=eth1
    DEVICE=eth1
    ONBOOT=yes
    IPADDR=172.16.1.7
    PREFIX=24
    GATEWAY=172.16.1.61
    DNS1=223.5.5.5

--------------------------------------------------------------------------------------------------
    1.安全框架  OSI --> 技术 ---> 真实故事
    2.云架构     waf  高防IP  Https
    3.firewalld 区域概念
    4.firewalld放行端口  
    5.firewalld放行服务
    6.firewalld端口转发
    7.firewalld富规则
    8.firewalld实现内部共享上网






上一篇:zabbix监控服务【转】


下一篇:服务器上远程连接