學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) >

RHEL7中防火墻的配置和使用方法是什么

時(shí)間: 加城1195 分享

  防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲(chóng)或是木馬程序的快速蔓延。下面小編就為大家?guī)?lái)一篇RHEL 7中防火墻的配置和使用方法。小編覺(jué)得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

  方法步驟

  RHEL7 中使用了firewalld代替了原來(lái)的iptables,操作設(shè)置和原來(lái)有點(diǎn)不同:

  查看防火墻狀態(tài):systemctl status firewalld

  啟動(dòng)防火墻:systemctl start firewalld

  停止防火墻:systemctl stop firewalld

  防火墻中的一切都與一個(gè)或者多個(gè)區(qū)域相關(guān)聯(lián),下面對(duì)各個(gè)區(qū)進(jìn)行說(shuō)明:

  Zone Description

  -----------------------------------------------------

  drop (immutable) Deny all incoming connections, outgoing ones are accepted.

  block (immutable) Deny all incoming connections, with ICMP host prohibited messages issued.

  trusted (immutable) Allow all network connections

  public Public areas, do not trust other computers

  external For computers with masquerading enabled, protecting a local network

  dmz For computers publicly accessible with restricted access.

  work For trusted work areas

  home For trusted home network connections

  internal For internal network, restrict incoming connections

  drop(丟棄)

  任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄,沒(méi)有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。

  block(限制)

  任何接收的網(wǎng)絡(luò)連接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕。

  public(公共)

  在公共區(qū)域內(nèi)使用,不能相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)對(duì)您的計(jì)算機(jī)造成危害,只能接收經(jīng)過(guò)選取的連接。

  external(外部)

  特別是為路由器啟用了偽裝功能的外部網(wǎng)。您不能信任來(lái)自網(wǎng)絡(luò)的其他計(jì)算,不能相信它們不會(huì)對(duì)您的計(jì)算機(jī)造成危害,只能接收經(jīng)過(guò)選擇的連接。

  dmz(非軍事區(qū))

  用于您的非軍事區(qū)內(nèi)的電腦,此區(qū)域內(nèi)可公開(kāi)訪問(wèn),可以有限地進(jìn)入您的內(nèi)部網(wǎng)絡(luò),僅僅接收經(jīng)過(guò)選擇的連接。

  work(工作)

  用于工作區(qū)。您可以基本相信網(wǎng)絡(luò)內(nèi)的其他電腦不會(huì)危害您的電腦。僅僅接收經(jīng)過(guò)選擇的連接。

  home(家庭)

  用于家庭網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)危害您的計(jì)算機(jī)。僅僅接收經(jīng)過(guò)選擇的連接。

  internal(內(nèi)部)

  用于內(nèi)部網(wǎng)絡(luò)。您可以基本上信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)威脅您的計(jì)算機(jī)。僅僅接受經(jīng)過(guò)選擇的連接。

  trusted(信任)

  可接受所有的網(wǎng)絡(luò)連接。

  操作防火墻的一些常用命令:

  --顯示防火墻狀態(tài)

  [root@localhost zones]# firewall-cmd --state

  running

  --列出當(dāng)前有幾個(gè)zone

  [root@localhost zones]# firewall-cmd --get-zones

  block dmz drop external home internal public trusted work

  --取得當(dāng)前活動(dòng)的zones

  [root@localhost zones]# firewall-cmd --get-active-zones

  public

  interfaces: ens32 veth4103622

  --取得默認(rèn)的zone

  [root@localhost zones]# firewall-cmd --get-default-zone

  public

  --取得當(dāng)前支持service

  [root@localhost zones]# firewall-cmd --get-service

  RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt MySQL nfs ntp openpmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

  --檢查下一次重載后將激活的服務(wù)。

  [root@localhost zones]# firewall-cmd --get-service --permanent

  RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp open pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

  --列出zone public 端口

  [root@localhost zones]# firewall-cmd --zone=public --list-ports

  --列出zone public當(dāng)前設(shè)置

  [root@localhost zones]# firewall-cmd --zone=public --list-all

  public (default, active)

  interfaces: eno16777736

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

  --增加zone public開(kāi)放http service

  [root@localhost zones]# firewall-cmd --zone=public --add-service=http

  success

  [root@localhost zones]# firewall-cmd --permanent --zone=internal --add-service=http

  success

  --重新加載配置

  [root@localhost zones]# firewall-cmd --reload

  success

  --增加zone internal開(kāi)放443/tcp協(xié)議端口

  [root@localhost zones]# firewall-cmd --zone=internal --add-port=443/tcp

  success

  --列出zone internal的所有service

  [root@localhost zones]# firewall-cmd --zone=internal --list-services

  dhcpv6-client ipp-client mdns samba-client ssh

  設(shè)置黑/白名單

  --增加172.28.129.0/24網(wǎng)段到zone trusted(信任)

  [root@localhost zones]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24

  success

  --列出zone truste的白名單

  [root@localhost zones]# firewall-cmd --permanent --zone=trusted --list-sources

  172.28.129.0/24

  --活動(dòng)的zone

  [root@localhost zones]# firewall-cmd --get-active-zones

  public

  interfaces: eno16777736

  --添加zone truste后重新加載,然后查看--get-active-zones

  [root@localhost zones]# firewall-cmd --reload

  success

  [root@localhost zones]# firewall-cmd --get-active-zones

  public

  interfaces: ens32 veth4103622

  trusted

  sources: 172.28.129.0/24

  --列出zone drop所有規(guī)則

  [root@localhost zones]# firewall-cmd --zone=drop --list-all

  drop

  interfaces:

  sources:

  services:

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

  --添加172.28.13.0/24到zone drop

  [root@localhost zones]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24

  success

  --添加后需要重新加載

  [root@localhost zones]# firewall-cmd --reload

  success

  [root@localhost zones]# firewall-cmd --zone=drop --list-all

  drop

  interfaces:

  sources: 172.28.13.0/24

  services:

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

  [root@localhost zones]# firewall-cmd --reload

  success

  --從zone drop中刪除172.28.13.0/24

  [root@localhost zones]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24

  success

  --查看所有的zones規(guī)則

  [root@localhost ~]# firewall-cmd --list-all-zones

  最后再提幾點(diǎn):

  1、很多時(shí)候我們需要開(kāi)放端口或開(kāi)放某IP訪問(wèn)權(quán)限,我們需要先查看我們當(dāng)前默認(rèn)的zone是哪個(gè),然后在對(duì)應(yīng)的zone里面添加port和source,這樣對(duì)外才會(huì)有作用。

  比如我當(dāng)前的默認(rèn)zone是public,我需要開(kāi)放80端口對(duì)外訪問(wèn),則執(zhí)行如下命令:

  [root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp

  success

  [root@localhost zones]# firewall-cmd --reload

  success

  2、使用命令的時(shí)候加上 --permanent 是永久生效的意思,在重啟防火墻服務(wù)后依然生效。否則,只對(duì)重啟服務(wù)之前有效。

  3、我們執(zhí)行的命令,結(jié)果其實(shí)都體現(xiàn)在具體的配置文件中,其實(shí)我們可以直接修改對(duì)應(yīng)的配置文件即可。

  以public zone為例,對(duì)應(yīng)的配置文件是/etc/firewalld/zones/public.xml,像我們剛剛添加80端口后,體現(xiàn)在public.xml 中的內(nèi)容為:

  [root@localhost zones]# cat public.xml

  Public

  For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

  這個(gè)大家可自己再進(jìn)一步了解下配置文件的結(jié)構(gòu)后,進(jìn)行自行配置,不過(guò)記得要在配置后 --reload 或重啟 firewall 服務(wù)。

  補(bǔ)充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽(tīng)起來(lái)很容易,但是由于防火墻沒(méi)有內(nèi)置的變動(dòng)管理流程,因此文件更改對(duì)于許多企業(yè)來(lái)說(shuō)都不是最佳的實(shí)踐方法。如果防火墻管理員因?yàn)橥话l(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會(huì)比較大。但是如果這種更改抵消了之前的協(xié)議更改,會(huì)導(dǎo)致宕機(jī)嗎?這是一個(gè)相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí),觀察誰(shuí)進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障,讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。

  二、以最小的權(quán)限安裝所有的訪問(wèn)規(guī)則。

  另一個(gè)常見(jiàn)的安全問(wèn)題是權(quán)限過(guò)度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶都有足夠的端口來(lái)訪問(wèn)他們所需的系統(tǒng),常用方法是在一個(gè)或者更多域內(nèi)指定打來(lái)那個(gè)的目標(biāo)對(duì)象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來(lái)訪問(wèn)大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會(huì)變得權(quán)限過(guò)度釋放,因此就會(huì)增加不安全因素。服務(wù)域的規(guī)則是開(kāi)放65535個(gè)TCP端口的ANY。防火墻管理員真的就意味著為黑客開(kāi)放了65535個(gè)攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來(lái)校驗(yàn)每項(xiàng)防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問(wèn)題,修正問(wèn)題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來(lái)解決問(wèn)題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門(mén)的過(guò)程中,我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來(lái)確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過(guò)期后從防火墻規(guī)則中刪除無(wú)用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問(wèn)題,因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒(méi)有刪除規(guī)則的流程。業(yè)務(wù)部門(mén)擅長(zhǎng)讓你知道他們了解這些新規(guī)則,卻從來(lái)不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對(duì)于達(dá)成規(guī)則共識(shí)是個(gè)好的開(kāi)始。運(yùn)行無(wú)用規(guī)則的報(bào)表是另外一步。黑客喜歡從來(lái)不刪除規(guī)則的防火墻團(tuán)隊(duì)。

RHEL 7中防火墻的配置和使用方法是什么相關(guān)文章:

1.RHEL6、7防火墻操作

2.Redhat Linux 7 命令關(guān)閉防火墻

3.Linux關(guān)閉防火墻的方法步驟

4.CentOS7關(guān)閉防火墻和SELinux

5.linux怎么查看防火墻是否開(kāi)啟

4041380