文章目录
1.防火墙介绍
1.1防火墙:
1.防火墙分类 ( 软件 iptables、firewalld 硬件 )
流入:PREROUTING --> INPUT --> OUTPUT
转发:PREROUTING --> FORWARD --> OUTPUT
流出:POSTROUTETING --> PREROUTING
2.firewalld (使用简单)
iptables -I INPUT -p tcp -dport 80 -j drop
firewall-cmd --add-port=80/tcp
3.安全
硬件环境
云环境
- 安全从那些方面考虑
硬件环境: OSI
硬件层面: 电源 (UPS) 温度监控 机柜上锁 磁盘报警 IDRAC
系统层面:
调整默认远程连接的SSH端口
统一使用密钥认证方式登陆
使用防火墙限制来源IP才能连接SSH
刚装系统建议升级软件、升级内核
服务层面:
mysql redis 建议设定比较复杂的密码
不要有公网IP地址,纵使有也不要监听在0.0.0.0
WEB应用:
1.HTTPS保证数据传输的安全
2.接入WAF(web应用防火墙) 请求参数不合规则拦截
3.安全宝 牛盾云 安全狗 知道创宇 阿里云
云上环境: OSI
系统层面:
1.安全组(控制来源的IP)
2.安骑士(免费版)、云安全中心(收费版)
3.快照,使用快照需要购买存储空间
服务层面:
mysql redis 建议设定比较复杂的密码
不要有公网IP地址,纵使有也不要监听在0.0.0.0
WEB应用:
1.HTTPS保证数据传输的安全
2.接入WAF(web应用防火墙) 请求参数不合规则拦截
3.安全宝 牛盾云 安全狗 知道创宇 阿里云
4.接入高防IP
数据层面:
备份
异地备份
考虑安全 性能差
考虑性能 安全弱
1.1firewalld防火墙介绍
1.firewalld介绍
总结:firewalld是一个centos7以上系统的内置防火墙,非常之简单。但是底层还是调的netfilter
2.firewalld核心概念
区域:事先定义好的模板集合。
选择对应的区域,就能应用对应区域的模板规则。
区域需要捆绑网络接口的:
一个区域可以绑定多个网卡
pubilc --> eth0 eth1 ( public中放行了80端口,就意味着对 eth0 eth1 的请求进行了规则控制 )、
一个网卡只能绑定一个区域
eth0 --> public 区域 ( 拒绝22端口 )
可以基于来源的IP进行规则的控制。( 结合多个区域规则来使用。 )
2.实践配置
2.1基础查看
1.启动firewalld
[root@web01 ~]# systemctl start firewalld
2.查看我们所处的区域(默认pubic)
[root@web01 ~]# firewall-cmd --get-default-zone
public
3.查看public规则明细
[root@web01 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
2.2结合多个区域配置
4.使用firewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许。
pubilc 默认区域
trusted 白名单 (默认允许所有)
drop 黑名单 (默认拒绝所有)
1.默认eth0 eth1都走public,那么我们可以将public的所有规则给清空。
[root@web01 ~]# firewall-cmd --remove-service=ssh
success
[root@web01 ~]# firewall-cmd --remove-service=dhcpv6-client
success
2.将来源IP是10.0.0.0/24 走trusted区域。放行了所有。
[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
success
[root@web01 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@web01 ~]# firewall-cmd --list-all --zone=trusted
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources: 10.0.0.0/24
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
重载会清空所有配置的规则
[root@web01 ~]# firewall-cmd --reload
success
1.使用firewalld放行端口和移除端口(端口进行放行)
1.添加端口
[root@web01 ~]# firewall-cmd --add-port=8080/tcp
2.永久添加端口
[root@web01 ~]# firewall-cmd --add-port=8080/tcp --permanent
3.添加多个端口
[root@web01 ~]# firewall-cmd --add-port={9000,9005}/tcp
4.移除端口
[root@web01 ~]# firewall-cmd --remove-port=9000/tcp
success
2.使用firewalld放行服务和移除端口(服务名称进行放行) ( http–>80 https–>443 ssh–>22 )
[root@web01 ~]# firewall-cmd --add-service=http
[root@web01 ~]# firewall-cmd --add-service=https
[root@web01 ~]# firewall-cmd --add-service=nfs
#其实也是根据端口号进行添加,所有服务的端口配置文件在这个目录下面,如果有的服务没有可以cp一份配置文件修改默认端口号就可以.
[root@web01 ~]# vim /usr/lib/firewalld/services/http.xml
3.端口转发
#语法:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
10.0.0.1 请求 10.0.0.7:5555 ---转发到-->172.16.1.8:22
[root@web01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.8
[root@web01 ~]# firewall-cmd --add-masquerade
4.富规则
# 获取富规则手册
[root@Firewalld ~]# man firewalld.richlanguage
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
rule [family="ipv4|ipv6"] #ipv4
source address="address[/mask]" [invert="True"] #ip地址
service name="service name" #服务名称
port port="port value" protocol="tcp|udp" #端口
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address" #传输协议
accept | reject [type="reject type"] | drop #动作
--add-rich-rule= #在指定的区域添加一条富规则
--remove-rich-rule= #在指定的区域删除一条富规则
--query-rich-rule= #找出规则则返回0,找不到返回1
--list-rich-rules #列出指定区域的所有富规则
*富规则案例
1.比如允许10.0.0.1主机能够访问80端口或http服务,允许172.16.1.0/24能访问8080端口
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=http accept'
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port="8080" protocol="tcp" accept'
2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" service name="ssh" drop'
3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@web01 ~]# firewall-cmd --add-service={http,https}
[root@web01 ~]# firewall-cmd --remove-service=ssh
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1/32" service name=ssh accept'
4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.8的22端口
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr=172.16.1.8'
[root@web01 ~]# firewall-cmd --add-masquerade
5.firewalld实现内部主机共享上网:
两台设备:
一台能上网 10.0.0.7 172.16.1.7
一台不能上网 172.16.1.8
1.172.16.1.8网关指向172.16.1.7
1.关闭eth0
ifdown eth0
2.修改eth1网卡配置
[root@web02 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.8
PREFIX=24
GATEWAY=172.16.1.7
DNS1=223.5.5.5
3.重启eth1的网卡
ifdown eth1 && ifup eth1
2.172.16.1.7上面开启forward转发
[root@web01 ~]# firewall-cmd --add-masquerade --permanent #永久开启
[root@web01 ~]# firewall-cmd --add-masquerade #临时开启不用重装加载服务
3.客户端测试是否能正常连接网络
[root@web02 ~]# ping baidu.com
PING baidu.com (39.156.69.79) 56(84) bytes of data.
64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=1 ttl=127 time=27.6 ms
64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=2 ttl=127 time=25.2 ms
NAT
DNAT:目标地址转换 端口映射
SNAT:源地址转换 共享上网
扫一扫
511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
