Linux防火请策略管理

Linux防火请策略管理 firewalld基础服务

（一）系统服务

• firewalld

（二）管理工具

• firewalld-cmd：终端命令
• firewalld-config：图形化界面

（三）预设保护规则集

1. public：仅允许访问本机的sshd、dhcp、ping等少数几个服务
2. trusted：允许任何访问
3. block：阻塞任何来访请求（明确拒绝）
4. drop：丢弃任何来访的数据包（直接丢弃，不给客户端回应。节省服务端资源）

（四）防火墙匹配原则：匹配即停止

• 查看数据包中源IP地址，然后查询所有区域中的规则，哪一个区域中有该源IP地址的规则，则进入哪一个区域。
• 进入默认区域（public，可以修改）
  • 查看默认区域：firewall-cmd --get-default-zone
  • 修改默认区域：firewall-cmd --set-default-zone=block

（五）区域中添加策略
（1）互联网常见协议

• http：80：超文本传输协议
• https：443：安全的超文本传输协议
• FTP：21：文件传输协议
• TFTP：69：简单的文件传输协议
• telnet：23：远程管理协议
• DNS：53：域名解析协议
• snmp：161：简单的网络管理协议
• smtp：25：邮件协议（发邮件）
• pop3：110：邮件协议（收邮件）

（2）查看区域下的规则

• firewall-cmd --zone=public --list-all

（3）给默认区域下添加一个策略，允许http协议

• firewall-cmd --zone=public --add-service=http
• --remove：删除

（4）永久配置（permanent）

• firewall-cmd --permanent --zone=public --add-service=http
• 永久配置是将配置信息写入到配置文件中，不会直接生效
• 刷新防火墙策略：firewall-cmd --reload

（5）添加ip限制

• firewall-cmd --zone=block --add-source=10.10.173.110

（6）简单常用策略模式

• 宽松：默认区域为trusted，单独拒绝的源ip地址写入block
• 严格：默认区域为block，单独允许的源ip地址写入trusted

（六）端口映射

• 从客户机访问端口1：5423的请求，自动映射到本机端口2：80
• firewall-cmd --permanent --zone=piblic --add-forward-port=port=5423:proto=tcp:toport:80