自学内容网 自学内容网
自学内容网 > 正文

linux安全管理-防火墙配置

🕗 发布于 2024-11-28 20:19 linux  安全  服务器  

1. 开启系统防火墙

1、检查内容
检查操作系统是否开启防火墙;
2、配置要求
操作系统开启防火墙;
3、配置方法
systemctl status firewalld ##查看系统防火墙运行状态
systemctl start firewalld ##启动防火墙
systemctl restart firewalld ##重启防火墙

2. 配置防火墙开放端口安全策略

1、检查内容
检查系统防火墙端口开放配置,以最小化原则开放需要的端口;
2、配置要求
建议限制系统对外开放的端口,只开放业务运行需要的对外端口;
3、配置方法
firewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --add-port=80/tcp --permanent #在默认域下永久放开 tcp 的 80 端口
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看新增加的内容,出现了就代表生效了。
对于不用端口也可以删除:
firewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --remove-port=80/tcp --permanent #在默认域下永久关闭 tcp 的 80 端口
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看删除的内容,没有了就代表生效了。

3. 配置防火墙限制 IP 地址访问安全策略

1、检查内容
检查系统防火墙 IP 地址访问配置,以最小化原则开放需要的 IP;
2、配置要求
建议限制系统对外开放的 IP,只开放业务运行需要的对外 ip 地址;
3、配置方法
irewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” accept” --permanent #在默认域下永久放开
192.168.1.18 单个地址对服务器的访问
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.0/24” accept” --permanent #在默认域下永久放开
192.168.1. 0/24 地址段对服务器的访问
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看新增加的内容,出现了就代表生效了。
对于不用端口也可以删除:
firewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --remove-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” accept” --permanent #在默认域下永久
关闭 192.168.1.18 对服务器的访问
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看删除的内容,没有了就代表生效了。

4. 配置防火墙限制 IP 地址访问指定端口安全策略

1、检查内容
检查系统防火墙 IP 地址访问端口配置,以最小化原则开放需要的 IP 和端口;
2、配置要求
建议限制系统对外开放的 IP 和端口,只开放业务运行需要的对外 ip 地址和端口;
3、配置方法
irewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” port protocol=”tcp” port=”22” accept” --
permanent #在默认域下永久放开 192.168.1.18 单个地址对服务器的 tcp22 端口访问
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.0/24” port protocol=”tcp” port=”22” accept” --
permanent #在默认域下永久放开 192.168.1. 0/24 地址段对服务器的 tcp22 端口访问
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看新增加的内容,出现了就代表生效了。
对于不用端口也可以删除:
firewall-cmd --list-all #查看防火墙的当前配置内容
firewall-cmd --remove-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” port protocol=”tcp” port=”22” accept” --
permanent #在默认域下永久关闭 192.168.1.18 对服务器的 tcp22 端口访问
service firewalld reload #重载防火墙服务
firewall-cmd --list-all #查看防火墙的当前配置内容,对比查看删除的内容,没有了就代表生效了。

原文地址:https://blog.csdn.net/chushudu/article/details/144074586

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2024