一、防火墙策略管理
作用:隔离,过滤入站请求,允许出站
RHEL7的防火墙体系
• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形工具)
匹配规则的原则: 匹配及停止
预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd、DHCP、ping少数几个服务
– trusted:允许任何访问
– block:阻塞任何来访请求,明确拒绝
– drop:丢弃任何来访的数据包,节省资源
防火墙决定,客户端请求进入某个区域的规则:
1.查看客户端请求中源IP地址,再看所以有区域中,哪一个区域有该源IP地址的规则,则进入该区域
2.进入默认区域,public
firewall-cmd --get-default-zone #查看默认区域
firewall-cmd --set-default-zone=block #修改默认区域
firewall-cmd --zone=public --list-all #查看区域规则
firewall-cmd --zone=public --add-service=http #添加服务
firewall-cmd --reload #重新加载防火墙配置,模拟重起机器
firewall-cmd --zone=block --add-source=172.25.0.10 添加源IP的规则设置
策略的永久配置
永久(permanent)
互联网常见的服务协议
http :超文本传输协议 80
FTP :文件传输协议 21
https :安全的超文本传输协议 443
DNS :域名解析协议 53
telnet :远程管理协议 23
smtp :邮件协议,用户发邮件协议 25
pop3 :邮件协议,用户收邮件协议 110
tftp :简单文件传输协议 69
工作时防火墙,设置的方式
严格:默认区域为drop,把允许的IP单独放入trusted
宽松:默认区域为trusted,把拒绝的IP单独放入drop
端口:编号,标识作用,标识每个服务
实现本机的端口映射
• 本地应用的端口重定向(端口1 --> 端口2),从客户机访问 端口1 的请求,自动映射到本机 端口2
firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
添加 - 转发 - 端口=将端口5423协议为tcp转发到80
firewall-cmd --reload 重新加载防火墙配置
roundrobin 轮询
activebackup 热备份
禁用seliux firewall
[root@room8pc205 ~]# sed -i '/^SELINUX/s/=.*/=disabled/' /etc/selinux/config
[root@room8pc205 ~]# systemctl stop firewalld.service
[root@room8pc205 ~]# systemctl mask firewalld.service
[root@room8pc205 ~]# init 6 #重启