Bagaimana Melaksanakan Peraturan Firewall Lanjutan dengan Firewalld di CentOS?-CentOS-php.cn

Rumah

Operasi dan penyelenggaraan

CentOS

Bagaimana Melaksanakan Peraturan Firewall Lanjutan dengan Firewalld di CentOS?

Karen Carpenter

Mar 11, 2025 pm 04:59 PM

Butiran artikel ini melaksanakan peraturan firewall canggih menggunakan Firewalld pada CentOS. Ia menekankan pendekatan berasaskan zon, menggunakan peraturan yang kaya untuk kawalan berbutir (misalnya, menentukan sumber IP, port, protokol). Amalan terbaik termasuk prinsip

Bagaimana Melaksanakan Peraturan Firewall Lanjutan dengan Firewalld di CentOS?

Melaksanakan Peraturan Firewall Lanjutan dengan Firewalld di CentOS

Bahagian ini memperincikan bagaimana untuk melaksanakan peraturan firewall canggih menggunakan firewalld pada sistem CentOS. firewalld menawarkan cara yang mantap dan fleksibel untuk menguruskan firewall anda, melampaui pembukaan pelabuhan mudah. Kekuatannya terletak pada seni bina berasaskan zonnya dan keupayaan untuk menentukan peraturan kompleks menggunakan sintaks yang kaya.

Pertama, pastikan firewalld dipasang dan berjalan:

 <code class="bash">sudo yum install firewalld sudo systemctl start firewalld sudo systemctl enable firewalld</code>

Peraturan lanjutan biasanya ditambah dalam zon tertentu. Zon default biasanya untuk antara muka awam, manakala yang lain seperti internal atau dmz dicipta untuk rangkaian dalaman atau zon demiliter. Katakan kami mahu membenarkan akses SSH hanya dari alamat IP tertentu (192.168.1.100) pada zon default . Kita boleh mencapai ini menggunakan alat baris arahan firewall-cmd :

 <code class="bash">sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept' sudo firewall-cmd --reload</code>

Perintah ini menambah peraturan tetap (menggunakan --permanent ) ke zon default . Pilihan --add-rich-rule membolehkan peraturan kompleks yang ditentukan dalam sintaks seperti XML. Peraturan ini secara khusus mensasarkan trafik IPv4 ( family="ipv4" ) yang berasal dari 192.168.1.100 dan menerimanya ( accept ). Ingatlah untuk memuatkan semula firewalld menggunakan --reload untuk perubahan yang berlaku. Anda boleh menambah keadaan yang lebih kompleks seperti julat pelabuhan, protokol (TCP/UDP), dan kriteria lain dalam rich rule . Sebagai contoh, untuk membenarkan hanya SSH (port 22) dari ip:

 <code class="bash">sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept' sudo firewall-cmd --reload</code>

Anda boleh melihat peraturan semasa anda menggunakan:

 <code class="bash">sudo firewall-cmd --list-all sudo firewall-cmd --list-rich-rules</code>

Amalan terbaik untuk mendapatkan pelayan CentOS menggunakan ciri canggih Firewalld

Mengamankan pelayan CentOS anda dengan berkesan dengan firewalld memerlukan pendekatan berlapis:

Prinsip keistimewaan paling sedikit: Hanya membenarkan perkhidmatan dan pelabuhan yang diperlukan. Elakkan pembukaan pelabuhan tidak perlu.
Keselamatan berasaskan zon: Menggunakan zon yang berbeza (contohnya, public , internal , dmz ) untuk memisahkan trafik rangkaian dan menggunakan peraturan yang sesuai untuk setiap zon. Ini meningkatkan keselamatan dengan mengehadkan kesan pelanggaran.
Peraturan yang kaya untuk kawalan berbutir: Menggunakan rich rules untuk menentukan kawalan akses yang sangat spesifik berdasarkan alamat IP sumber, pelabuhan, protokol, dan kriteria lain.
Pengauditan biasa: Secara berkala mengkaji peraturan firewall anda menggunakan sudo firewall-cmd --list-all dan sudo firewall-cmd --list-rich-rules untuk memastikan mereka masih sesuai dan belum dikompromikan.
Penapisan input: Mengutamakan penapisan input. Sekat semua sambungan masuk secara lalai, dan secara eksplisit hanya membenarkan yang diperlukan.
Lumpuhkan perkhidmatan yang tidak perlu: Berhenti dan lumpuhkan sebarang perkhidmatan yang anda tidak perlukan secara aktif. Ini mengurangkan permukaan serangan.
Kata Laluan dan Pengesahan yang kuat: Melaksanakan kata laluan yang kuat dan gunakan mekanisme pengesahan yang teguh seperti kekunci SSH. Peraturan firewall sahaja tidak mencukupi untuk keselamatan lengkap.
Kemas kini tetap: Pastikan sistem CentOS anda dan firewalld terkini dengan patch keselamatan terkini.
Analisis log: Pantau log firewall untuk aktiviti yang mencurigakan. Ini dapat membantu mengesan dan bertindak balas terhadap pencerobohan yang berpotensi.
Fail2ban: Pertimbangkan menggunakan Fail2ban bersempena dengan firewalld . Fail2ban secara automatik mengharamkan alamat IP yang cuba log masuk kekerasan.

Membenarkan pelabuhan dan protokol tertentu melalui firewalld di CentOS untuk aplikasi atau perkhidmatan tertentu

Membenarkan pelabuhan dan protokol tertentu untuk aplikasi melibatkan mengenal pasti pelabuhan dan protokol yang digunakan oleh aplikasi dan membuat peraturan firewall yang sesuai. Sebagai contoh, untuk membolehkan trafik HTTP (port 80) dan trafik HTTPS (port 443):

 <code class="bash">sudo firewall-cmd --permanent --add-port=80/tcp sudo firewall-cmd --permanent --add-port=443/tcp sudo firewall-cmd --reload</code>

Untuk senario yang lebih kompleks yang melibatkan alamat IP tertentu atau kriteria lain, gunakan rich rules :

 <code class="bash">sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="8080" accept' sudo firewall-cmd --reload</code>

Ini membolehkan trafik TCP di port 8080 dari alamat IP 192.168.1.100. Ingat untuk menggantikan nilai ini dengan port, protokol, dan alamat IP yang sesuai untuk aplikasi khusus anda. Sentiasa nyatakan protokol (TCP atau UDP) secara eksplisit.

Langkah penyelesaian masalah biasa untuk menyelesaikan masalah dengan peraturan firewalld yang kompleks pada sistem centOS

Peraturan firewalld kompleks memerlukan pendekatan yang sistematik:

Mengesahkan Kewujudan Peraturan: Gunakan sudo firewall-cmd --list-all dan sudo firewall-cmd --list-rich-rules untuk mengesahkan bahawa peraturan anda ditambah dengan betul dan aktif.
Periksa Tugasan Zon: Pastikan peraturan dikaitkan dengan zon yang betul (misalnya, public , internal ). Gunakan sudo firewall-cmd --get-active-zones untuk menyenaraikan zon aktif dan antara muka mereka.
Periksa log: periksa log firewalld untuk kesilapan atau amaran. Lokasi fail log mungkin berbeza -beza bergantung pada konfigurasi sistem anda tetapi sering dijumpai dalam /var/log/firewalld/ .
Sambungan Ujian: Gunakan alat seperti ping , telnet , netstat , dan nc untuk menguji sambungan ke perkhidmatan yang terjejas oleh peraturan anda.
Memudahkan peraturan: Jika anda mempunyai banyak peraturan yang kompleks, cuba buat sementara waktu untuk mengasingkan peraturan yang bermasalah.
Mulakan semula Firewalld: Selepas membuat perubahan pada peraturan anda, selalu tambah semula firewalld menggunakan sudo firewall-cmd --reload . Dalam kes -kes yang degil, restart penuh ( sudo systemctl restart firewalld ) mungkin diperlukan.
Gunakan iptables (Advanced): Untuk senario yang sangat kompleks, anda boleh memanipulasi peraturan iptables yang mendasari, walaupun ini umumnya tidak digalakkan kecuali anda sangat akrab dengan iptables . Walau bagaimanapun, ingatlah bahawa perubahan yang dibuat secara langsung kepada iptables akan ditimpa oleh firewalld .
Rujuk Dokumentasi: Rujuk dokumentasi rasmi firewalld untuk maklumat terperinci mengenai sintaks, pilihan, dan tip penyelesaian masalah.

Dengan mengikuti langkah -langkah dan amalan terbaik ini, anda dapat mengurus dan menyelesaikan masalah firewall lanjutan dengan berkesan menggunakan firewalld pada pelayan CentOS anda, meningkatkan keselamatan dan kestabilannya.

Atas ialah kandungan terperinci Bagaimana Melaksanakan Peraturan Firewall Lanjutan dengan Firewalld di CentOS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Centos: Pengenalan kepada Pengagihan LinuxApr 19, 2025 am 12:07 AM

CentOS adalah pengagihan sumber terbuka berdasarkan Redhatenterpriselinux, memberi tumpuan kepada kestabilan dan sokongan jangka panjang, sesuai untuk pelbagai persekitaran pelayan. 1. Falsafah reka bentuk CentOS stabil dan sesuai untuk pelayan web, pangkalan data dan aplikasi. 2. Gunakan Yum sebagai Pengurus Pakej untuk melepaskan kemas kini keselamatan secara teratur. 3. Pemasangan mudah, anda boleh membina pelayan web dengan beberapa arahan. 4. Ciri -ciri canggih termasuk keselamatan yang dipertingkatkan menggunakan selinux. 5. Soalan -soalan yang sering ditanya seperti konfigurasi rangkaian dan kebergantungan perisian boleh disahpepijat melalui perintah NMCLI dan Yumdeplist. 6. Cadangan Pengoptimuman Prestasi termasuk penalaan parameter kernel dan menggunakan pelayan web ringan.

Centos dalam Tindakan: Pengurusan Pelayan dan Hosting WebApr 18, 2025 am 12:09 AM

CentOS digunakan secara meluas dalam pengurusan pelayan dan hosting web. Kaedah khusus termasuk: 1) Menggunakan YUM dan SystemCTL untuk menguruskan pelayan, 2) Pasang dan konfigurasi Nginx untuk hosting web, 3) Gunakan atas dan mpStat untuk mengoptimumkan prestasi, 4) dengan betul mengkonfigurasi firewall dan menguruskan ruang cakera untuk mengelakkan masalah biasa.

CentOS: Pengedaran Linux yang didorong oleh masyarakatApr 17, 2025 am 12:03 AM

CentOS adalah pengedaran Linux yang stabil, gred perusahaan yang sesuai untuk persekitaran pelayan dan perusahaan. 1) Ia didasarkan pada RedhatenterPriselinux dan menyediakan sistem operasi bebas, terbuka dan serasi. 2) CentOS menggunakan sistem pengurusan pakej YUM untuk memudahkan pemasangan dan kemas kini perisian. 3) Menyokong pengurusan automasi lanjutan, seperti menggunakan Ansible. 4) Kesilapan umum termasuk isu kebergantungan pakej dan permulaan perkhidmatan, yang boleh diselesaikan melalui fail log. 5) Cadangan Pengoptimuman Prestasi termasuk penggunaan perisian ringan, pembersihan sistem dan pengoptimuman parameter kernel.

Apa yang berlaku selepas centos: jalan ke depanApr 16, 2025 am 12:07 AM

Alternatif untuk CentOS termasuk rockylinux, almalinux, oraclelinux, dan sles. 1) Rockylinux dan Almalinux menyediakan pakej binari yang serasi RHEL dan sokongan jangka panjang. 2) Oraclelinux menyediakan sokongan peringkat perusahaan dan teknologi ksplice. 3) SLES menyediakan sokongan dan kestabilan jangka panjang, tetapi pelesenan komersil boleh meningkatkan kos.

Centos: Meneroka AlternatifApr 15, 2025 am 12:03 AM

Alternatif ke CentOS termasuk Ubuntuserver, Debian, Fedora, Rockylinux, dan Almalinux. 1) Ubuntuserver sesuai untuk operasi asas, seperti mengemas kini pakej perisian dan mengkonfigurasi rangkaian. 2) Debian sesuai untuk penggunaan lanjutan, seperti menggunakan LXC untuk menguruskan bekas. 3) Rockylinux dapat mengoptimumkan prestasi dengan menyesuaikan parameter kernel.

Baris arahan shutdown centosApr 14, 2025 pm 09:12 PM

Perintah shutdown CentOS adalah penutupan, dan sintaks adalah tutup [pilihan] [maklumat]. Pilihan termasuk: -h menghentikan sistem dengan segera; -P mematikan kuasa selepas penutupan; -r mulakan semula; -T Waktu Menunggu. Masa boleh ditentukan sebagai segera (sekarang), minit (minit), atau masa tertentu (HH: mm). Maklumat tambahan boleh dipaparkan dalam mesej sistem.

Perbezaan antara centos dan ubuntuApr 14, 2025 pm 09:09 PM

Perbezaan utama antara CentOS dan Ubuntu adalah: asal (CentOS berasal dari Red Hat, untuk perusahaan; Ubuntu berasal dari Debian, untuk individu), pengurusan pakej (CentOS menggunakan yum, yang memberi tumpuan kepada kestabilan; Ubuntu menggunakan APT, untuk kekerapan yang tinggi) Pelbagai tutorial dan dokumen), kegunaan (CentOS berat sebelah ke arah pelayan, Ubuntu sesuai untuk pelayan dan desktop), perbezaan lain termasuk kesederhanaan pemasangan (CentOS adalah nipis)

Alamat IP Konfigurasi CentOSApr 14, 2025 pm 09:06 PM

Langkah-langkah untuk mengkonfigurasi alamat IP di CentOS: Lihat konfigurasi rangkaian semasa: IP Addr Edit Fail Konfigurasi Rangkaian: SUDO VI/ETC/SYSCONFIG/Rangkaian-Skrips

See all articles