day48——Firewalld基本介紹

1.目錄

  • 1.題目--->
  • 2.安全
  • 3.firewalld防火墻 (軟件型)
  • 4.firewalld防火墻-->區(qū)域
  • 5.firewalld放行端口相關(guān)
  • 5.firewalld放行服務相關(guān)
  • 6.firewalld富規(guī)則-->
  • 7.firewalld實現(xiàn)共享上網(wǎng)

2.Firewalld基本介紹

2.1 安全

  • 硬件環(huán)境:

    • 硬件層面: 電源 (UPS) 溫度監(jiān)控 機柜上鎖 磁盤報警
    • 系統(tǒng)層面:
      • 更換默認SSH端口
      • 禁止ROOT直接登錄,統(tǒng)一使用密鑰認證方式
      • 使用防火墻限制-->某個來源IP才能連接SSH
      • 軟件更新 內(nèi)核升級 --->已運行很久系統(tǒng)不要升級內(nèi)核
    • 服務: mysql redis 等等
      • 不要有公網(wǎng)IP地址
      • 如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
      • 一定要設定比較復雜的密碼認證
    • web: nginx tomcat 應用層
      • HTTPS
      • WAF -->web應用防火墻 (防火墻+WAF防火墻) --> http/https協(xié)議
        • 安全寶 牛盾云 安全狗 知道創(chuàng)宇 阿里云

  • 云環(huán)境:

    • 系統(tǒng)層面:
      • SSH
      • 安騎士(免費版) 云安全中心(收費版)
      • 快照 ---> 使用快照需要購買存儲空間
    • 服務層面: redis mysql
      • 不要有公網(wǎng)IP地址
      • 如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
      • 一定要設定比較復雜的密碼認證
      • 安全組(防火墻)
    • web層面:
      • HTTPS
      • 云WAF
    • 數(shù)據(jù)層面:
      • 備份
      • 異地備份
    • 上網(wǎng) --->VPC --->NAT網(wǎng)關(guān) (端口映射)

找?guī)准易霭踩? nginx+lua

  • 云架構(gòu)
    • 高防IP --->DDOS
    • WAF防火墻 --->漏洞注入
    • HTTPS ---->防劫持 防篡改

HTTPS+WAF+負載均衡

https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.11186623.6.573.c85f5414Ajl83H

WAF的配置.png

HTTPS+高防IP+WAF+負載均衡

https://help.aliyun.com/document_detail/35163.html?spm=a2c4g.11186623.6.792.2fc36251vRqVB1

高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http

**考慮安全 性能差 **

考慮性能 安全弱

防火墻圖示.png

2.2 Firewalld防火墻

  • firewalld ---> 無需網(wǎng)絡知識 ---> 自動擋汽車 不支持花活

  • iptables ---> 依賴網(wǎng)絡知識 ----> 手動擋汽車 花活

    firewalld比iptables簡單--->

    • 圖形界面操作 GUI 太復雜
    • 命令行操作 CLI 簡單

  • 80 22 3306

  • 一個網(wǎng)卡僅能綁定一個區(qū)域。比如: eth0-->A區(qū)域

  • 但一個區(qū)域可以綁定多個網(wǎng)卡。比如: B區(qū)域-->eth0、eth1、eth2

  • 還可以根據(jù)來源的地址設定不同的規(guī)則。比如:所有人能訪問80端口,但只有公司的IP才允許訪問22端口。

2.3Firewalld防火墻常用的區(qū)域

區(qū)域 作用
公共區(qū)域(Public Zone) 默認就是在public
丟棄區(qū)域(Drop Zone) 黑名單,阻塞區(qū)域會拒絕進入的網(wǎng)絡連接,返回icmp-host-prohibited
信任區(qū)域(Trusted Zone) 白名單,信任區(qū)域允許所有網(wǎng)絡通信通過

3.開啟防火墻區(qū)域內(nèi)服務

1.firewalld查看處于哪個區(qū)域

#查看當前防火墻的區(qū)域
[root@manager ~]# firewall-cmd --get-active-zones 
public

# 查看防火墻,添加的端口也可以看到
[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 

#重啟防火墻,所有區(qū)域都恢復出廠設置,除永久
[root@manager ~]# firewall-cmd --reload

#后面跟--permanent實現(xiàn)永久配置,除非--remove指定刪除
[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent

2.source網(wǎng)段

使用firewalld各個區(qū)域規(guī)則結(jié)合配置,調(diào)整默認public區(qū)域拒絕所有流量,但如果來源IP是10.0.0.0/24網(wǎng)段則允許。 復規(guī)則實現(xiàn)(只需要一個區(qū)域)

[root@manager ~]# firewall-cmd --remove-service={ssh,dhcpv6-client}
[root@manager ~]# firewall-cmd --add-source="10.0.0.0/24" --zone=trusted
[root@manager ~]# firewall-cmd --get-active-zones 
public
  interfaces: eth0 eth1
trusted
  sources: 10.0.0.0/24
  

#清空配置
[root@manager ~]# firewall-cmd --reload

3.port端口

firewalld放行端口

#添加放行端口
[root@manager ~]# firewall-cmd --add-port=80/tcp
[root@manager ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}

#移除放行端口
[root@manager ~]# firewall-cmd --remove-port=80/tcp 
[root@manager ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}

[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp 8081/tcp 8082/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

4.service服務

放行服務--->對應的還是端口-->比端口看起來更清晰

[root@manager ~]# firewall-cmd --add-service=http
[root@manager ~]# firewall-cmd --add-service=https
[root@manager ~]# firewall-cmd --add-service={zabbix-agent,zabbix-server}
[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client http https zabbix-agent zabbix-server
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
  
 移除
[root@manager ~]# firewall-cmd --remove-service={zabbix-agent,zabbix-server}

5.自定義端口

自定義服務名稱--->服務對應的端口 8080 8081 8082 -->api業(yè)務

[root@manager services]# cd /usr/lib/firewalld/services   #該目錄下都是防火墻所支持的服務
[root@manager services]# cp http.xml api.xml      #創(chuàng)建一個api的服務,然后為它指定端口
[root@manager services]# cat api.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>API (HTTP)</short>
  <port protocol="tcp" port="8081"/>
  <port protocol="tcp" port="8082"/>
  <port protocol="tcp" port="8083"/>
</service>

[root@manager services]# firewall-cmd --reload
success
[root@manager services]# firewall-cmd --add-service=api
success

4.firewalld實現(xiàn)端口轉(zhuǎn)發(fā)

  • 路由器 ---------->TPLINK

  • 虛擬機Vmware

  • Nginx四層TCP/IP (類似 和lvs不一樣)

  • Firewalld

防火墻端口映射.png
  #固定語法
  firewall-cmd --permanent --zone=<區(qū)域> --add-forward-port=port=<源端口號>:proto=<協(xié)議>:toport=<目標端口號>:toaddr=<目標IP地址>
  
  [root@manager ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.31
  
  # 地址偽裝
  [root@manager ~]# firewall-cmd --add-masquerade
  #------------------------------------------------------->
  #管理上抓包
  [root@manager ~]# tcpdump port 5555 -nn
  
  #后端主機的抓包
  [root@nfs ~]# tcpdump -i eth1 port 22 -nn

5.Firewalld富規(guī)則

[root@Firewalld ~]# man firewalld.richlanguage  # 獲取富規(guī)則手冊
    rule
        [source]
        [destination]
        service|port|protocol|icmp-block|masquerade|forward-port
        [log]
        [audit]
        [accept|reject|drop]

rule [family="ipv4|ipv6"]            
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop    #accept允許 reject拒絕 會報錯 drop拒絕 不報

1.允許10.0.0.1主機能夠訪問 http服務,允許172.16.1.0/24能訪問8080端口

10.0.0.1   --->    80         http     除此以外都不可以訪問
172.16.1.x --->    8080       api      除此以外都不可以訪問

[root@manager ~]# firewall-cmd --reload

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4  source address=10.0.0.1/32 service name="http" accept'

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4  source address=172.16.1.0/24 service name="api" accept'

2.默認public區(qū)域?qū)ν忾_放所有人能通過ssh服務連接,但拒絕172.16.1.0/24網(wǎng)段通過ssh連接服務器

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop'

3.使用firewalld,允許所有人能訪問http,https服務,但只有10.0.0.1主機可以訪問ssh服務

[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --remove-service=ssh

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="ssh" accept'


####使用端口方式  2222
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="2222" protocol=tcp accept'

4.當用戶來源IP地址是10.0.0.1主機,則將用戶請求的5555端口轉(zhuǎn)發(fā)至后端172.16.1.31的22端口

任何人訪問10.0.0.61 5555端口都給轉(zhuǎn)發(fā)
10.0.0.1   --->    10.0.0.61 5555   ---> 172.16.1.31 22

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.31"'
[root@manager ~]#  firewall-cmd --add-masquerade

6.firewalld實現(xiàn)共享上網(wǎng)

在指定的帶有公網(wǎng)IP的實例上啟動Firewalld防火墻的NAT地址轉(zhuǎn)換,以此達到內(nèi)部主機上網(wǎng)。

firewalld內(nèi)部上網(wǎng).jpg

詳細流程

防火墻共享上網(wǎng)詳細流程.jpg

1.firewalld防火墻開啟masquerade, 實現(xiàn)地址轉(zhuǎn)換

[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
[root@Firewalld ~]# firewall-cmd --reload

2.客戶端將網(wǎng)關(guān)指向firewalld服務器,將所有網(wǎng)絡請求交給firewalld

[root@web03 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61

3.客戶端還需配置dns服務器

[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5

4.重啟網(wǎng)絡,使其配置生效

[root@web03 ~]# ifdown eth1 && ifup eth1

5.測試后端web的網(wǎng)絡是否正常

[root@web03 ~]# ping baidu.com
PING baidu.com (123.125.115.110) 56(84) bytes of data.
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=127 time=9.08 ms

firewalld共享上網(wǎng)方式不是特別推薦 (阿里云上如何實現(xiàn)---> 提交工單)

推薦:

? 物理環(huán)境: 使用路由器來實現(xiàn)上網(wǎng)

? 云環(huán)境: 推薦使用NAT網(wǎng)關(guān)設備

安全體系: OSI七層模型 --->

云架構(gòu) ( 高防IP + WAF防火墻 ) | 單機架構(gòu)| 集群架構(gòu) |多機房 | SOA

WAF+負載均衡配置

  • 1.配置負載均衡+多web節(jié)點
  • 2.配置WAF ---> 指向負載均衡的公網(wǎng)IP地址 --->完成后會生成一個cname的域名.
  • 3.配置DNS 解析---> 指向WAF cname
  • 4.配置HTTPS,請將證書傳一份至WAF上, 至于負載均衡需不需要看情況.

高防IP + WAF防火墻 + 負載均衡

Firewalld 默認是拒絕所有端口

? 區(qū)域概念

? 放行端口

? 放行服務

? 端口轉(zhuǎn)發(fā)

? 共享上網(wǎng)

? 富規(guī)則

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關(guān)閱讀更多精彩內(nèi)容

  • 3.1 安全 硬件環(huán)境:硬件層面: 電源 (UPS) 溫度監(jiān)控 機柜上鎖 磁盤報警系統(tǒng)層面:更換默認SSH端口禁止...
    林深見鹿出閱讀 289評論 0 0
  • 1.安全 (1)硬件環(huán)境: ①硬件層面: 電源 (UPS) 溫度監(jiān)控 機柜上鎖 磁盤報警②系統(tǒng)層面: 更換默認SS...
    江枍_a99e閱讀 314評論 0 1
  • 實驗二:OceanConnect平臺北向開發(fā)試驗 步驟一 配置步驟 下載一個Postman軟件,然后修改一些設置,...
    文海長了會招鬼閱讀 239評論 1 0
  • 實驗二:OceanConnect平臺北向開發(fā)試驗 一.打開Postman軟件,選擇右上方四個灰色圖標從左往右第二個...
    老爹_eb23閱讀 233評論 1 0
  • 一切定論為時尚早,人活著總該有個盼頭。時間或許是等待最好的見證人,
    張漁閱讀 189評論 0 0

友情鏈接更多精彩內(nèi)容