centos7 關閉防火牆的指令_Firewalld--01 防火牆安全、基本指令、區域配置

Firewalld防火牆安全、基本指令、區域配置

安全

1.按OSI七層模型實體層資料鍊路層網絡層傳輸層會話層表示層應用層安全公司：安全狗知道創宇牛盾雲
           

實體環境：

實體環境：硬體安全 機櫃上鎖，避免電源被拔(UPS, 可以雙電源)，網線被拔(打标簽) 溫度，硬體檢查網絡安全 (硬體防火牆(防DOS)，軟體防火牆 (iptables/firewalld/selinux (僅允許公司的IP位址能連接配接伺服器的22端口))做規則限制服務安全 更新有漏洞的版本 nginx mysql redis... 所有主機都沒有公網ip,大大的降低被攻擊的風險系統安全 沒有公網ip，ssh安全(修改ssh預設端口号)，權限控制(禁用root遠端登入)。web nginx,apache必須對外，除了80/443端口，其他都不要對外waf防火牆 防DDOS攻擊 漏洞注入 SQL注入
           

雲環境

硬體 無需關心網絡 硬體防火牆 --> 高防DDOS 軟體防火牆---->安全組系統 SSH安全、權限控制、更新更新檔、安騎士、堡壘機web SSL、阿裡雲提供WAF、雲安全中心資料 備份 敏感資料保護
           

安全公司：

安全狗 www.safe.dog牛盾雲www.newdefend.com知道創宇
           

牛盾雲

知道創宇

安全狗

1. 防火牆安全基本概述

RHEL/CentOS 7系統中內建了多款防火牆管理工具，其中Firewalld(Dynamic Firewall Manager of Linux systems, Linux系統的動态防火牆管理器)服務是預設的防火牆配置管理工具，它擁有基于CLI(指令行界面)和基于GUI(圖形使用者界面)的兩種管理方式。

​ 那麼相較于傳統的Iptables防火牆，Firewalld支援動态更新,并加入了區域zone的概念。簡單來說，區域就是Firewalld預先準備了幾套防火牆政策集合(政策模闆),使用者可以根據生産場景的不同而選擇合适的政策集合，進而實作防火牆政策之間的快速切換。

Firewalld規則配置，從外通路伺服器内部如果沒有添加規則預設是阻止，從伺服器内部通路伺服器外部預設是允許

需要注意的是Firewalld中的區域與接口.

一個網卡僅能綁定一個區域，但一個區域可以綁定多個網卡。還可以根據來源的位址設定不同的規則。

比如：所有人能通路80端口，但隻有公司的IP才可以通路22端口。

2. 防火牆使用區域管理

劃分不同的區域，制定出不同區域之間的通路控制政策來控制不同程式區域間傳送的資料流。

3. 防火牆基本指令參數

Firewall-cmd指令分類清單

4.防火牆區域配置政策

1). 為了能正常使用Firwalld服務和相關工具去管理防火牆，必須啟Firewalld服務，同時關閉以前舊防火牆相關服務，同時需要注意Firewalld的規則分兩種狀态：

runtime運作時: 修改規則馬上生效,但是是臨時生效 [不建議]

permanent持久配置: 修改後需要reload重載才會生效 [強烈推薦]

#禁用舊版防火牆服務[[email protected] ~]# systemctl mask iptables[[email protected] ~]# systemctl mask ip6tables#啟動firewalld防火牆, 并加入開機自啟動服務[[email protected] ~]# systemctl start firewalld[[email protected] ~]# systemctl enable firewalld
           

2). Firewalld啟動後，我們需要知道使用的是什麼區域，區域的規則明細又有哪些？

#預設目前使用的zone[[email protected] ~]# firewall-cmd --get-default-zonepublic#檢視目前區域的規則有哪些[[email protected] ~]# firewall-cmd --list-allpublictarget: defaulticmp-block-inversion: nointerfaces:sources:services: ssh dhcpv6-clientports:protocols:masquerade: noforward-ports:source-ports:icmp-blocks:rich rules:
           

#顯示所有的zone [[email protected] ~]# firewall-cmd  --get-zonesblock dmz drop external home internal public trusted work#詳細的顯示所有zone的預設規則[[email protected] ~]# firewall-cmd  --list-all-zonesblock  target: %%REJECT%%  icmp-block-inversion: no  interfaces:   sources:   services:   ports:   protocols:   masquerade: no  forward-ports:   source-ports:   icmp-blocks:   rich rules: 
           

設定zone

#設定預設的區域[[email protected] ~]# firewall-cmd   --set-default-zone=trustedsuccess#檢視預設的區域[[email protected] ~]# firewall-cmd   --get-default-zonetrusted#顯示目前活動的區域及接口[[email protected] ~]# firewall-cmd   --get-active-zonepublic  interfaces: eth0 eth1#添加一個新的zone[[email protected] ~]# firewall-cmd  --new-zone=test  --permanentsuccess#檢視所有的zone[[email protected] ~]# firewall-cmd   --get-zonesblock dmz drop external home internal public trusted work#重新開機firewalld的設定規則[[email protected] ~]# firewall-cmd  --reloadsuccess#檢視所有的zone[[email protected] ~]# firewall-cmd   --get-zonesblock dmz drop external home internal public test trusted work#删除zone[[email protected] ~]# firewall-cmd  --delete-zone=test --permanentsuccess[[email protected] ~]# firewall-cmd   --get-zonesblock dmz drop external home internal public test trusted work#重新開機才會生效[[email protected] ~]# firewall-cmd   --reloadsuccess[[email protected] ~]# firewall-cmd   --get-zonesblock dmz drop external home internal public trusted work
           

3).使用Firewalld中各個區域規則結合，目前預設區域拒絕所有的流量，但如果來源IP是10.0.0.0/24網段則允許。

#1.臨時移除政策[[email protected] ~]# firewall-cmd --remove-service=ssh --remove-service=dhcpv6-clientsuccess#或者：[[email protected] ~]# firewall-cmd   --remove-service={ssh,dhcpv6-client}success#2.添加來源是10.0.0.0/24網段，将其加入白名單[[email protected] ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trustedsuccess#3.檢查目前活動的區域及接口[[email protected] ~]# firewall-cmd   --get-active-zonepublic  interfaces: eth0 eth1trusted  sources: 10.0.0.0/24[[email protected] ~]# firewall-cmd  --reload#重新開機服務之後，臨時生效的失效success[[email protected] ~]# firewall-cmd   --get-active-zonepublic  interfaces: eth0 eth1
           

拒絕10.0.0.0/24網段的所有服務

[[email protected] ~]# firewall-cmd   --add-source=10.0.0.0/24   --zone=dropsuccess[[email protected] ~]# firewall-cmd --list-allpublic (active)  target: default  icmp-block-inversion: no  interfaces: eth0 eth1  sources:   services: ssh dhcpv6-client  ports:   protocols:   masquerade: no  forward-ports:   source-ports:   icmp-blocks:   rich rules: [[email protected] ~]# firewall-cmd  --get-active-zonedrop  sources: 10.0.0.0/24public  interfaces: eth0 eth1
           

添加多個服務

#添加多個服務[[email protected] ~]# firewall-cmd  --add-service={https,mysql,redis}success[[email protected] ~]# firewall-cmd  --list-servicesssh http https mysql redis
           

移除多個服務

[[email protected] ~]# firewall-cmd  --remove-service={http,https,mysql,redis}success[[email protected] ~]# firewall-cmd  --list-servicesssh
           

4). 查詢public區域yi是否允許請求SSH、HTTPS協定的流量

[[email protected] ~]# firewall-cmd --zone=public --query-service=sshno[[email protected] ~]# firewall-cmd --zone=public --query-service=httpsno
           

5). 開啟public區域服務的流量

[[email protected] ~]# firewall-cmd --zone=public --add-service=sshsuccess[[email protected] ~]# firewall-cmd --zone=public --query-service=sshyes[[email protected] ~]# firewall-cmd --zone=public --remove-service=sshsuccess[[email protected] ~]# firewall-cmd --zone=public --query-service=sshno
           

6). 修改其他區域的服務流量限制

[[email protected] ~]# firewall-cmd --zone=trusted --query-service=sshno[[email protected] ~]# firewall-cmd --zone=trusted --add-service=sshsuccess[[email protected] ~]# firewall-cmd --zone=trusted --query-service=sshyes
           

7). 最後将配置恢複至預設規則，--reload參數僅能恢複臨時添加的規則政策

[[email protected] ~]# firewall-cmd --reloadsuccess[[email protected] ~]# firewall-cmd --zone=public --list-allpublictarget: defaulticmp-block-inversion: nointerfaces:sources:services: ssh dhcpv6-clientports:protocols:masquerade: noforward-ports:source-ports:icmp-blocks:rich rules: