来自标杆徐的课程笔记:https://edu.51cto.com/center/course/lesson/index?id=408520

安全:
OSI七层模型
	物理环境:
		硬件	(电源被拔 UPS   网线被拔(打标签))		机柜上锁
		网络	(硬件防火墙-->防DDOS  软件防火墙Firewalld/Iptables(规则限制))
		系统	(SSH安全	权限控制   更新补丁 )
		服务	mysql redis .....	所有主机都没有公网IP, 大大的降低被攻击的风险
		web		SSL、WAF  --> SQL注入漏洞、XSS跨站、网站挂马、页面被篡改、蠕虫等黑客
		数据	备份

	云环境:
	    网络	高防DDOS、安全组
	    系统	SSH安全、权限控制、更新补丁、安骑士、堡垒机
	    web		SSL、WAF、云安全中心
	    数据	备份 敏感数据保护


	云架构	
		
安全公司
	https://www.newdefend.com
	http://www.safedog.cn/
https://www.zoomeye.org/			ZoomEye



1.防火墙安全基本概述
2.防火墙使用区域管理
3.防火墙基本指令参数
4.防火墙区域配置策略
5.防火墙端口访问策略
6.防火墙服务访问策略
7.防火墙端口转发策略
8.防火墙富规则策略
9.防火墙开启内部上网



需要注意的是Firewalld中的区域与接口
一个网卡仅能绑定一个区域。比如: eth0-->A区域
但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2
可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。



trusted	允许所有的数据包流入与流出				白名单
public	拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
drop	拒绝流入的流量,除非与流出的流量相关	黑名单


1.获取当前默认的区域
[root@m01 ~]# firewall-cmd --get-default-zone
public

2.查看当前活动的区域
[root@m01 ~]# firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1

3.查看firewalld规则明细
[root@m01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
3.使用firewalld多个区域规则结合,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.1/24则允许。 
[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-source=10.0.0.1/32 --zone=trusted
[root@m01 ~]# firewall-cmd --get-active-zone
public
  interfaces: eth0 eth1
trusted
  sources: 10.0.0.1/32

  

runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。


firewalld放行端口
[root@m01 ~]# firewall-cmd --add-port=80/tcp
[root@m01 ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}
[root@m01 ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}

firewalld放行自带服务
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# #firewall-cmd --add-port=6379/tcp
[root@m01 ~]# firewall-cmd --add-service=redis

firewalld放行自定义的服务	qqqq--->1111
[root@m01 ~]# cd /usr/lib/firewalld/services/
[root@m01 services]# cp http.xml qqqq.xml
[root@m01 services]# vim qqqq.xml 	80--->1111
[root@m01 services]# systemctl restart firewalld
[root@m01 services]# firewall-cmd --add-service=qqqq 



firewalld端口转发		--> 四层负载均衡
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@m01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
[root@m01 ~]# firewall-cmd --add-masquerade		#IP地址伪装
[root@m01 ~]# firewall-cmd --permanent --add-forward-port=port=6666:proto=tcp:toport=3306:toaddr=172.16.1.51


firewalld富规则
  rule
        [source]
        [destination]
        service|port|protocol|icmp-block|masquerade|forward-port
        [log]
        [audit]
        [accept|reject|drop]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject | drop
接收      拒绝    不搭理

1.比如允许10.0.0.0/24网段能够访问http服务,仅允许172.16.1.7/32主能访问ssh服务
	10网段能访问http服务
	172.16.1.7能访问ssh服务
	其他统统拒绝
[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --remove-service=dhcpv6-client
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 service name=http accept'
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.7/32 port port=22 protocol=tcp accept'

2.默认所有人就能连接ssh服务,但拒绝172.16.1.0/24网段.
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

3.允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@m01 ~]#  firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1/32"  forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'

如果没有添加--permanent参数则重启firewalld会失效。
富规则按先后顺序匹配,按先匹配到的规则生效

原文地址:http://www.cnblogs.com/faberbeta/p/16879108.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性