在CentOS系統中��,防火墻策略的制定主要通過使用firewalld這個動態管理工具來實現����。以下是一些基本的步驟和策略制定方法:
1. 了解firewalld的基本概念
- 區域(Zone):firewalld使用區域來定義不同的網絡環境���,如公共網絡��、內部網絡和信任網絡等�。每個區域都有自己的防火墻規則集合�����。
- 運行時和永久配置:firewalld支持運行時和永久配置����。運行時配置的更改在重新啟動后會被重置�,而永久配置則會持久保存并在系統重新啟動后生效���。
- 服務和端口:firewalld可以通過定義服務和端口來管理訪問控制����。服務是一組預定義的規則�����,用于允許或拒絕特定的網絡服務�。
- 動態更新:firewalld支持動態更新防火墻規則����,這意味著您可以在運行時添加��、刪除或修改規則�,而無需重新加載整個防火墻配置�����。
2. 配置防火墻的步驟
開啟防火墻并設為開機自啟
systemctl enable firewalld
systemctl start firewalld
配置默認的防火墻規則
允許任何TCP流量通過:
firewall-cmd --permanent --add-service=tcp
允許Web服務(http和https)通過:
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
允許SSH連接:
firewall-cmd --permanent --add-service=ssh
開放防火墻端口:
firewall-cmd --permanent --add-port=80/tcp
保存并應用新的默認規則
firewall-cmd --reload
設置規則為啟動時啟動
將規則添加到/etc/rc.d/rc.local腳本中�����,以便在新系統啟動時自動應用�����。
3. 制定具體的防火墻策略
允許指定IP訪問所有流量
firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='192.168.1.100' accept"
firewall-cmd --reload
允許指定IP訪問指定端口
firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='8.8.8.8' port protocol='tcp' port='80' accept"
firewall-cmd --reload
允許指定IP訪問指定協議
firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='120.12.23.136' protocol value='icmp' accept"
firewall-cmd --reload
允許指定IP訪問指定服務
firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='10.168.186.25' service name='ssh' accept"
firewall-cmd --reload
防火墻移除某個服務
firewall-cmd --permanent --remove-service=ssh
firewall-cmd --reload
4. 查看和修改防火墻規則
firewall-cmd --list-all
firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --reload
firewall-cmd --permanent --zone=public --remove-port=443/tcp
firewall-cmd --reload
firewall-cmd --reload
以上步驟和命令可以幫助您在CentOS系統上制定和實施防火墻策略�。根據實際需求�,您可能需要調整這些配置以滿足特定的安全要求�����。
