admin管理员组文章数量:1642342
网络安全
Firewalld:动态防火墙管理器。
我们都在生活中听说过防火防盗,那身为互联网家庭的成员,我们需要防什么呢?对了,没错,就是防火,好的,首先让我们看看系统防火到底要防什么?我们都知道钱很重要,所以咱们防盗贼,于是我们就把门锁上,一系列措施整起来,同理,防火防火,顾名思义就是防止外面的妖火,那对于一个互联网的社会,流量就很重要了,因此我们防的就是流量,想象一下,别人随意进出你家,搜取你的信息,太吓人了吧。
在这里,我们需要理解一些关于区域的内容了。我觉得哈,区域就是分工合作的划分地盘,每个区域有自己需要完成的工作,每个区域都有自己的领地。就像一个国王把自己的领土划分为许多的区域,A区域种植蔬菜,B种植水果,C区域养牲畜等等。。。。。。
接下来,咱们来看看这个防火,咱们得怎么防?还是那个例子,区域里总得有人干活对吧,干活总得有个身份,不能白干,于是a同学就拿着自己的工作卡首先去等级最高的A,A区域的机器人小婕一比对发出机械的声音:“这位美女姐姐,你不是这个区域的工作人员哟,去看看区域B吧,see you next time!”,a同学接着来到了B,机器人小呆说道:“Welcome to our family, having a nice day! Check success”,于是就可以搞事情了。
好,那我们现在来看看“流量”这位同学,是怎么来找到相关区域的。
- 查看所有防火墙工作区域是否有符合该地址的,有的话,就是该工作区域,与该工作区域的性质相同。
- 如果没有符合的工作区域,咱们就查看是否有对应的端口规则
- 好,连端口规则都没有,那咱们总有出路,咱们走默认工作区域。
相关概念
- zones:是一些防火墙规则的集合,可以指定某一作用。举个例子:我指定ip=192.168.123.456的区域种植蔬菜,我就会写zone=A(上文已提到A是种植蔬菜的哟)
- trusted:默认放行所有流量的传入。trust英文就是信任,相信,一看trusted就是个单纯的孩子,不管好人坏人都相信,都放行,因此我们不能太经常的把这个单纯的孩子放出来,免得被带坏了。
- work:拒绝所有流量的传入,除非与传出流量有关,或者是预定义服务。
- public:默认使用,拒绝所有流量的传入(除了系统预定义的sshd, dhcp6-client),允许流量的流出。
咱就先学着这几个,自己想了解的是吧,各个网站都有,是吧,学习去吧!
关于firewall的一些简单的命令
针对地址的命令
1.获取系统中所有防火墙的工作区域。
firewall-cmd --get-zones
我这个系统下有10个
block dmz drop external home internal libvirt public trusted work
2.获取默认的防火墙工作区域
firewall-cmd --get-default-zone
应该都是public
public
3.修改防火墙工作区域
修改防火墙的默认区域为trusted
firewall-cmd --set-default-zone=trusted
4.列出系统中所有服务的名称
firewall-cmd --get-services
5.查看规则
这个查看,查看的只有public这一个区域
firewall-cmd --list-all
这个查看就不得了啦,查看所有区域的规则
firewall-cmd --list-all-zones
6.移除出该区域
firewell-cmd --remove-source=192.168.123.123 --zone=public
6.添加到该区域
firewall-cmd --add-source=192.168.149.123 --zone=trusted
以上设置都是单次(即时)生效,重启失效
firewall-cmd --permanent --add-source=192.168.149.131
此时该命令没有生效,需要重新加载
firewall-cmd --reload
但执行完此条指令后,其余单次生效的会失效
针对端口的命令
1.只要请求80端口流量就可以传入
firewall-cmd --remove-port=80/tcp
2.服务放行,放行http服务
firewall-cmd --add-service=http --zone=work
3.图形化小工具
yum install firewall-config.noarch -y
4.调用图形化
firewall-config
just like this picture
做个小小的有趣的实验吧~
首先,咱们需要两台虚拟机,那就克隆一个吧,记住是克隆完整的,不是克隆链接哟
第一步:查看ip
ifconfig
ip addr
ip a
记得查看本虚拟机和克隆虚拟机的ip,我这里分别记为a和b,两天虚拟机的名字为A和B
第二步:域名解析
vim /etc/hosts
在里面写入
a A
b B
(a、b为ip地址, A、B为虚拟机名字,或者自己取个名字都可以)
这是在A虚拟机下的操作哟(未特别说明的话,就是在A的虚拟机下,不是克隆的虚拟机下)
远程复制,将这个域名解析,远程复制到克隆虚拟机上
scp /etc/hosts root@b:/etc/hosts
b是克隆虚拟机的ip地址
第三步:进行服务的使用,测试一下区域
echo "wotian,zhepianwenzhangzhenbucuo,bixuyaodiange dadadada dede zanzan" > /var/www/html/index.html
开启httpd这个服务
systemctl start httpd
用firefox(火狐浏览器)打开网页
firefox http://localhost
你就可以看到如上的界面啦!到这里是不是很有成就感,接下来咱们的实验就开始啦!
在A虚拟机上是可以打开的
B虚拟机上打不开,是因为防火墙在防火啦,B在A虚拟机的默认区域(即public区域)所以打不开。
firewall-cmd --remove-source=192.168.149.131
firewall-cmd --add-source=192.168.149.131 --zone=trusted
现在我们讲它设置为trusted区域,来看看效果
是的,运行成功啦!你get到防火墙了吗?还有很多有趣的实验等着我们去探索哟!加油,铁汁们!
版权声明:本文标题:管理网络安全firewall 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1729335108a1196877.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论