Hat Linux eine Firewall?

Firewall ist eine unverzichtbare Software für fast alle öffentlichen Linux-Server, die den Server vor Netzwerkangriffen schützen kann. Viele Linux-Distributionen verfügen bereits über eine Firewall, normalerweise iptables; bei Fedora-, CentOS- und Red Hat-Distributionen ist die standardmäßig installierte Firewall-Software firewalld, die über den Befehl „firewall-cmd“ konfiguriert und gesteuert werden kann.

Linux verfügt über Firewall- und Antivirensoftware. Firewall ist fast eine unverzichtbare Software für Linux-Server im öffentlichen Internet. Darüber hinaus verfügt fast jeder Computerraum über Hardware-Firewalls zur Einbruchserkennung, zum Schutz vor Angriffen usw.

Eine vernünftige Firewall ist die erste Barriere für Ihren Computer, um Netzwerkeinbrüche zu verhindern. Wenn Sie zu Hause im Internet surfen, baut der Internetdienstanbieter normalerweise eine Firewall im Routing ein. Wenn Sie nicht zu Hause sind, ist die Firewall auf Ihrem Computer die einzige, daher ist es wichtig, die Firewall auf Ihrem Linux-Computer zu konfigurieren und zu steuern. Wenn Sie einen Linux-Server verwalten, ist es ebenso wichtig zu wissen, wie Sie Ihre Firewall verwalten, damit Sie Ihren Server vor illegalem Datenverkehr schützen können, egal ob lokal oder remote.

Linux-Installations-Firewall

Normalerweise ist iptables die Standard-Firewall, die mit vielen Linux-Distributionen geliefert wird. Es ist leistungsstark und anpassbar, aber etwas komplex in der Konfiguration. Entwickler haben Front-End-Anwendungen geschrieben, die Benutzer bei der Verwaltung von Firewalls unterstützen und umständliche Iptables-Regeln ersetzen.

Auf Fedora, CentOS, Red Hat und einigen ähnlichen Distributionen ist die standardmäßig installierte Firewall-Software firewalld, die über den Befehl firewall-cmd konfiguriert und gesteuert wird. Firewalld kann sowohl auf Debian als auch auf den meisten anderen Distributionen über Software-Repositories installiert werden. Ubuntu wird mit Uncomplicated Firewall (ufw) geliefert. Um Firewalld verwenden zu können, müssen Sie also das Universe-Software-Repository aktivieren:

$ sudo add-apt-repository universe
$ sudo apt install firewalld

Sie müssen ufw auch deaktivieren:

$ sudo systemctl disable ufw

Es gibt keinen Grund, ufw nicht zu verwenden. Es handelt sich um ein leistungsstarkes Firewall-Frontend. Dieser Artikel konzentriert sich jedoch auf firewalld, da es von den meisten Distributionen unterstützt wird und in systemd integriert ist, das in fast allen Distributionen enthalten ist.

Egal welche Distribution Sie haben, Sie müssen die Firewall zuerst aktivieren, damit sie wirksam wird, und sie muss beim Start geladen werden:

$ sudo systemctl enable --now firewalld

Verstehen der Firewall-Domäne

Firewalld ist so konzipiert, dass die Firewall-Konfiguration so erfolgt einfach wie möglich. Dieses Ziel wird durch die Einrichtung von Domänenzonen erreicht. Eine Domain ist eine Reihe sinnvoller, allgemeiner Regeln, die sich an die täglichen Bedürfnisse der meisten Benutzer anpassen. Standardmäßig gibt es neun Domänen.

• vertrauenswürdig: Akzeptiere alle Verbindungen. Hierbei handelt es sich um eine sehr freizügige Firewall-Einstellung, die nur in absolut vertrauenswürdigen Umgebungen verwendet werden sollte, beispielsweise in einem Testlabor oder einem Heimnetzwerk, in dem jeder jeden kennt.

• Die meisten Kontakte entstehen in diesen drei Bereichen: Zuhause, Arbeit und intern. Sie schließen jeweils eingehenden Datenverkehr von Ports aus, von denen nicht erwartet wird, dass sie aktiv sind. Alle drei eignen sich für den Einsatz in einer Heimumgebung, da es keinen Netzwerkverkehr mit unsicheren Ports gibt und Sie anderen Benutzern im Heimnetzwerk grundsätzlich vertrauen können.

• öffentlich: Wird in öffentlichen Bereichen verwendet. Dies ist eine paranoide Einstellung, die verwendet wird, wenn Sie anderen Computern im Netzwerk nicht vertrauen. Es können nur ausgewählte gängige und sicherste eingehende Verbindungen akzeptiert werden.

• dmz: DMZ steht für Demilitarisierte Zone. Dieser Domänenname wird häufig für Computer verwendet, die außerhalb der Organisation öffentlich zugänglich sind und nur begrenzten Zugriff auf das interne Netzwerk haben. Dieser Satz kann wie folgt umgeschrieben werden: Obwohl er für Personalcomputer nicht sehr praktisch ist, ist er für einige Server eine wichtige Wahl.

• extern: Wird für externe Netzwerke verwendet, Masquerading wird aktiviert (die Adresse Ihres privaten Netzwerks wird einer externen IP-Adresse zugeordnet und ausgeblendet). Wie bei einer DMZ werden nur ausgewählte eingehende Verbindungen akzeptiert, einschließlich SSH.

• blockieren: Akzeptieren Sie nur Netzwerkverbindungen, die in diesem System initialisiert wurden. Jede Netzwerkverbindung wird verweigert und eine ICMP-Host-Prohibited-Nachricht wird gesendet. Dies ist eine sehr wichtige Einstellung, insbesondere für Personalcomputer oder bestimmte Servertypen, die sich aufgrund ihres hohen Grads an Paranoia in nicht vertrauenswürdigen oder ungesicherten Umgebungen befinden.

• drop: Alle empfangenen Netzwerkpakete werden ohne Antwort verworfen. Es sind nur ausgehende Netzwerkverbindungen verfügbar. Eine extremere Lösung als diese Einstellung besteht darin, WLAN auszuschalten und das Netzwerkkabel abzuziehen.

Sie können alle Zonen für Ihre Distribution anzeigen oder Administratoreinstellungen über die Konfigurationsdatei /usr/lib/firewalld/zones anzeigen. Die FedoraWorkstation-Zone, die mit Fedora 31 geliefert wird, lautet beispielsweise wie folgt:

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Fedora Workstation</short>
  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="samba-client"/>
  <port protocol="udp" port="1025-65535"/>
  <port protocol="tcp" port="1025-65535"/>
</zone>

Holen Sie sich die aktuelle Zone

Sie können jederzeit mit der Option --get-active-zones sehen, in welcher Zone Sie sich befinden:

$ sudo firewall-cmd --get-active-zones

Ergebnisse ausgeben, es wird der Name der aktuell aktiven Domäne und die ihr zugewiesene Netzwerkschnittstelle angezeigt. Wenn Sie sich auf einem Laptop in der Standarddomäne befinden, bedeutet dies normalerweise, dass Sie über eine WLAN-Karte verfügen:

FedoraWorkstation
  interfaces: wlp61s0

Ändern Sie Ihre aktuelle Domäne

要更改你的域，请将网络接口重新分配到不同的域。举个例子，将 wlp61s0 网卡修改为公用域

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何时候、任何理由改变一个接口的活动域 —— 无论你是要去咖啡馆，觉得需要增加笔记本的安全策略，还是要去上班，需要打开一些端口进入内网，或者其他原因。在你凭记忆学会 firewall-cmd 命令之前，你只要记住了关键词 change 和 zone，就可以慢慢掌握，因为按下 Tab 时，它的选项会自动补全。

Das obige ist der detaillierte Inhalt vonHat Linux eine Firewall?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!