重生之我要当云原生大师（二十一）防火墙与网络安全-优快云博客

本文链接：https://blog.youkuaiyun.com/2301_79893878/article/details/145962584

三、Firewalld的区域默认配置？四、SELinux端口标记是什么，如何控制SELinux端口标记？

一、什么是防火墙？

防火墙（Firewall） 是一种网络安全系统，用于监控和控制进出网络的流量，基于预定义的安全规则允许或阻止数据包的传输。它的主要功能包括流量过滤、访问控制、防止攻击、网络地址转换（NAT）以及日志记录和监控。防火墙可以分为网络层防火墙、应用层防火墙、状态检测防火墙和下一代防火墙（NGFW），部署位置包括边界防火墙、内部防火墙和主机防火墙。防火墙通过保护网络免受外部威胁和内部滥用，是网络安全的基础设施。

在红帽企业Linux（RHEL）中，防火墙功能主要通过 firewalld 服务实现。firewalld 是一个动态管理防火墙的工具，支持区域（zone）和服务（service）的概念，能够灵活地管理网络流量。

1. firewalld 的核心概念

区域（Zone）：
- 区域是预定义的规则集合，用于根据网络环境的不同应用不同的防火墙规则。
- 默认区域包括 public、trusted、internal 等。
服务（Service）：
- 服务是预定义的规则集合，用于允许特定应用程序的流量（如HTTP、SSH）。
运行时配置与永久配置：
- 运行时配置是临时的，重启后会失效。
- 永久配置会保存到配置文件中，重启后仍然有效。

2. firewalld 的常用命令

启动、停止和启用 firewalld：

sudo systemctl start firewalld # 启动 firewalld

sudo systemctl stop firewalld # 停止 firewalld

sudo systemctl enable firewalld # 设置 firewalld 开机自启

sudo systemctl disable firewalld # 禁用 firewalld 开机自启

sudo systemctl status firewalld # 查看 firewalld 状态

查看默认区域：

sudo firewall-cmd --get-default-zone

查看当前区域的规则：

sudo firewall-cmd --list-all

添加允许的服务（如HTTP）：

sudo firewall-cmd --add-service=http --permanent

sudo firewall-cmd --reload

添加允许的端口（如8080）：

sudo firewall-cmd --add-port=8080/tcp --permanent

sudo firewall-cmd --reload

更改默认区域：

sudo firewall-cmd --set-default-zone=internal

移除规则：

sudo firewall-cmd --remove-service=http --permanent

sudo firewall-cmd --remove-port=8080/tcp --permanent

sudo firewall-cmd --reload

二、防火墙的工作原理？

防火墙的工作原理是通过监控和控制进出网络的流量，基于预定义的安全规则允许或阻止数据包的传输。以下是防火墙工作原理的详细说明：

1. 流量过滤

防火墙检查每个数据包的以下信息：
- 源IP地址：数据包来自哪里。
- 目标IP地址：数据包要去哪里。
- 端口号：数据包使用的网络端口（如80用于HTTP，22用于SSH）。
- 协议：数据包使用的网络协议（如TCP、UDP、ICMP）。
根据预定义的规则，防火墙决定是否允许数据包通过。

2. 规则匹配

防火墙根据规则集（rule set）对数据包进行匹配。
规则通常包括：
- 允许规则：允许符合条件的数据包通过。
- 拒绝规则：阻止符合条件的数据包通过。
规则按顺序匹配，一旦匹配成功，后续规则不再检查。

3. 状态检测

现代防火墙（如状态检测防火墙）不仅检查单个数据包，还跟踪连接的状态。
例如，对于TCP连接，防火墙会检查是否完成了三次握手。
只有合法的、已建立的连接才允许通过。

4. 网络地址转换（NAT）

防火墙可以修改数据包的IP地址和端口号，实现以下功能：
- 源NAT（SNAT）：修改源IP地址，通常用于隐藏内部网络的真实IP。
- 目标NAT（DNAT）：修改目标IP地址，通常用于端口转发或负载均衡。

5. 应用层过滤

高级防火墙（如应用层防火墙或下一代防火墙）可以深入分析应用层协议（如HTTP、FTP）。
例如，防火墙可以检测HTTP请求中的恶意内容，或阻止特定的FTP命令。

6. 日志记录和监控

防火墙记录所有被允许或阻止的流量，便于审计和故障排除。
实时监控功能可以帮助管理员及时发现异常行为。

7. 防御攻击

防火墙可以检测并阻止常见的网络攻击，如：
- DDoS攻击：通过限制流量速率。
- 端口扫描：通过阻止连续的端口探测。
- IP欺骗：通过验证源IP地址的真实性。

8. 工作模式

路由模式：防火墙作为网络中的一个路由器，所有流量必须经过防火墙。
透明模式：防火墙作为网络中的一个透明设备，对用户不可见。
混合模式：结合路由模式和透明模式，适用于复杂的网络环境。

总结

防火墙通过流量过滤、规则匹配、状态检测、NAT、应用层过滤、日志记录和防御攻击等功能，保护网络免受未经授权的访问和恶意攻击。它是网络安全的基础设施，能够有效提升网络的安全性。

三、Firewalld的区域默认配置？

在红帽企业Linux（RHEL）中，firewalld 使用 区域（Zone） 来管理不同网络环境下的防火墙规则。每个区域都有一组预定义的规则，用于控制流量。以下是几个比较重要的默认区域及其配置：

1. 公共区域（public）

用途：用于公共网络（如咖啡馆、机场的Wi-Fi），默认区域。
默认配置：
- 允许的服务：ssh、dhcpv6-client。
- 拒绝所有其他传入流量。
适用场景：不信任的网络环境，需要严格限制访问。

2. 受信任区域（trusted）

用途：用于完全信任的网络环境。
默认配置：
- 允许所有传入和传出流量。
适用场景：内部网络或完全信任的设备。

3. 内部区域（internal）

用途：用于内部网络，通常用于办公室或家庭网络。
默认配置：
- 允许的服务：ssh、mdns、samba-client、dhcpv6-client。
- 允许与内部网络相关的服务。
适用场景：部分信任的网络环境。

4. 工作区域（work）

用途：用于工作场所的网络。
默认配置：
- 允许的服务：ssh、dhcpv6-client。
适用场景：需要限制访问但允许特定服务的工作环境。

5. 家庭区域（home）

用途：用于家庭网络。
默认配置：
- 允许的服务：ssh、mdns、samba-client、dhcpv6-client。
适用场景：家庭网络，允许部分共享服务。

6. 隔离区域（DMZ）

用途：用于隔离区域（Demilitarized Zone），通常用于托管对外服务的服务器。
默认配置：
- 允许的服务：ssh。
适用场景：托管对外服务的服务器，需要严格限制访问。

7. 阻塞区域（block）

用途：用于完全阻止传入流量。
默认配置：
- 拒绝所有传入流量，允许传出流量。
适用场景：需要完全阻止外部访问的环境。

8. 丢弃区域（drop）

用途：用于静默丢弃所有传入流量。
默认配置：
- 丢弃所有传入流量，不发送任何响应。
适用场景：需要完全阻止外部访问且不提供任何反馈的环境。

9. 外部区域（external）

用途：用于外部网络，通常用于路由器或防火墙的外部接口。
默认配置：
- 允许的服务：ssh。
- 启用伪装（masquerading），用于隐藏内部网络。

适用场景：外部网络接口，需要隐藏内部网络
四、SELinux端口标记是什么，如何控制SELinux端口标记？

SELinux（Security-Enhanced Linux） 是一种强制访问控制（MAC）机制，用于增强 Linux 系统的安全性。SELinux 不仅控制文件和进程的访问权限，还可以控制网络端口的访问。SELinux 端口标记是指为网络端口分配的安全上下文（Security Context），用于限制哪些服务可以绑定到特定端口。

1. SELinux 端口标记的作用