一、防火墙策略管理

作用：隔离，过滤入站请求，允许出站

 

RHEL7的防火墙体系

• 系统服务:firewalld

• 管理工具:firewall-cmd、firewall-config（图形工具）

  匹配规则的原则： 匹配及停止

 

预设安全区域

• 根据所在的网络场所区分,预设保护规则集

  – public:仅允许访问本机的sshd、DHCP、ping少数几个服务

  – trusted:允许任何访问

  – block:阻塞任何来访请求，明确拒绝

  – drop:丢弃任何来访的数据包，节省资源

 

 防火墙决定，客户端请求进入某个区域的规则：

  1.查看客户端请求中源IP地址，再看所以有区域中，哪一个区域有该源IP地址的规则，则进入该区域

  2.进入默认区域，public

 

 firewall-cmd --get-default-zone    #查看默认区域

 firewall-cmd --set-default-zone=block   #修改默认区域

 firewall-cmd --zone=public  --list-all    #查看区域规则

 firewall-cmd --zone=public  --add-service=http  #添加服务

 firewall-cmd --reload      #重新加载防火墙配置，模拟重起机器

 firewall-cmd --zone=block    --add-source=172.25.0.10  添加源IP的规则设置

策略的永久配置

永久(permanent)

互联网常见的服务协议

  http  :超文本传输协议         80

  FTP   ：文件传输协议           21

  https ：安全的超文本传输协议     443

  DNS    :域名解析协议           53

  telnet :远程管理协议            23

  smtp   ：邮件协议，用户发邮件协议   25

  pop3   ：邮件协议，用户收邮件协议   110

  tftp   ：简单文件传输协议              69

 

工作时防火墙，设置的方式

  严格：默认区域为drop，把允许的IP单独放入trusted

  宽松：默认区域为trusted，把拒绝的IP单独放入drop

端口：编号，标识作用，标识每个服务

实现本机的端口映射

• 本地应用的端口重定向(端口1 --> 端口2)，从客户机访问 端口1 的请求,自动映射到本机 端口2

firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80

                                          添加 - 转发  - 端口=将端口5423协议为tcp转发到80

firewall-cmd --reload   重新加载防火墙配置

roundrobin   轮询 

activebackup  热备份

禁用seliux firewall

[root@room8pc205 ~]#  sed -i '/^SELINUX/s/=.*/=disabled/' /etc/selinux/config

[root@room8pc205 ~]#  systemctl stop firewalld.service

[root@room8pc205 ~]#  systemctl mask firewalld.service

[root@room8pc205 ~]#  init 6   #重启