centos防火墻最佳實踐指南

CentOS 防火墻的最佳實踐包括以下步驟：

1. 查看防火墻狀態：

   • 使用命令 firewall-cmd --state 或 systemctl status firewalld 來檢查防火墻是否正在運行。

2. 開關防火墻：

   • 啟動防火墻：systemctl start firewalld.service
   • 重啟防火墻：systemctl restart firewalld.service
   • 關閉防火墻：systemctl stop firewalld.service
   • 設置開機啟用防火墻：systemctl enable firewalld.service
   • 設置開機禁用防火墻：systemctl disable firewalld.service

3. 開放或限制服務器端口：

   • 查看開放的端口：firewall-cmd --list-ports
   • 查詢防火墻所有規則：firewall-cmd --list-all
   • 開放端口（例如80端口）：firewall-cmd --zone=public --add-port=80/tcp --permanent
   • 關閉端口（例如80端口）：firewall-cmd --zone=public --remove-port=80/tcp --permanent
   • 配置立即生效并重新加載：firewall-cmd --reload

4. 配置訪問白名單：

   • 命令行操作：
     • 只允許指定IP段訪問服務器22端口：

       firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="指定IP或IP段" port protocol="tcp" port="22" accept'
       

     • 允許指定IP段訪問服務器所有端口：

       firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="指定IP或IP段" accept'
       

   • 修改配置文件：
     • 編輯配置文件 /etc/firewalld/zones/public.xml，添加規則后重啟防火墻。

5. 服務訪問配置：

   • 查詢服務：firewall-cmd --list-services
   • 查看ftp服務是否支持：firewall-cmd --query-service ftp
   • 永久移除ftp服務：firewall-cmd --permanent --remove-service=ftp
   • 永久開放ftp服務：firewall-cmd --permanent --add-service=ftp
   • 臨時開放ftp服務：firewall-cmd --add-service=ftp

6. 擴展功能：

   • 列出支持的zone：firewall-cmd --get-zones
   • 查看幫助：man firewall-cmd

這些步驟涵蓋了CentOS防火墻的基本操作和配置方法，確保系統安全性和便利性。