防火墙策略管理
Apache(httpd)
Apache:软件基金会组织
默认页面存放路径
/var/www/html
默认名称
index.html
基本FTP服务
vsftpd
ftp 文件传输协议 21
http 超文本传输协议 80
默认FTP共享目录
/var/ftp
分类
-
硬件防火墙
-
软件防火墙
服务:firewalld
工具:firewalld-cmd firewalld-config(图形工具)
匹配原则:匹配即停止
预设安全区域
根据所在网络产所区分,预设保护规则集
- pubilic 仅允许访问本机的sshd、DHCP、ping 少数几个服务
- trusted 允许任何访问
- block 阻塞任何来访请求,明确拒绝
- drop 丢弃任何老方的数据包,节省资源
运行规则的位置
- 运行时(runtime)
- 永久(permanent)
防火墙决定客户端请求进入某个区域的规则
1、查看客户端请求中源IP地址,再看所有区域中,哪一个区域有改源IP地址的规则,择进入该区域
2、进入默认区域 public
默认区域的修改
查看默认区域
firewall-cmd --get-default-zone
修改默认区域
firewall-cmd --set-default-zone=block
查看区域配置
firewall-cmd --zone=public --list-all
添加协议
firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=ftp
删除协议
firewall-cmd --zone=public --remove-service=ftp
互联网常见的访问协议(8大协议)
http 80 超文本传输协议
ftp 21 文件传输协议
https 443 安全超文本传输协议
dns 53 域名解析协议
telnet 23 远程管理协议
smtp 25 邮件协议,用户发邮件协议
pop3 110 邮件协议,用户收邮件协议
tftp 69 简单文件传输协议
策略的永久配置
运行规则的位置
- 运行时(runtime)
- 永久(permanent)
永久生效
firewall-cmd --permanent --zone=public --add-service=ftp
重新加载防火墙配置(模拟重启服务器)
firewall-cmd --reload
添加源IP的规则设置
firewall-cmd --zone=block --add-source=192.168.1.10
工作时防火墙设置的两种方式
严格:默认为drop,允许的IP单独放入trusted
宽松:默认为trusted,允许的IP单独放入drop
实现本机的端口映射
端口:编号,标识作用,标识每个服务
将访问5423端口转发为访问80端口
firewall-cmd --permanent
--zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
添加 转发 端口:编号 协议为tcp 转发到80