day49 firewalld防火墻

1.本周內(nèi)容
firewalld防火墻
ansible自動(dòng)化配置工具 (安裝 配置 啟動(dòng) ) #2 2.今日內(nèi)容
1.題目---> 2.安全
3.firewalld防火墻 (軟件型) 4.firewalld防火墻-->區(qū)域
5.firewalld放行端口相關(guān)
5.firewalld放行服務(wù)相關(guān)
6.firewalld富規(guī)則--> 7.firewalld實(shí)現(xiàn)共享上網(wǎng)

2 3.Firewalld #3 3.1 安全

硬件環(huán)境:
硬件層面: 電源 (UPS) 溫度監(jiān)控 機(jī)柜上鎖 磁盤報(bào)警
系統(tǒng)層面:
更換默認(rèn)SSH端口
禁止ROOT直接登錄,統(tǒng)一使用密鑰認(rèn)證方式
使用防火墻限制-->某個(gè)來源IP才能連接SSH
軟件更新 內(nèi)核升級(jí) --->已運(yùn)行很久系統(tǒng)不要升級(jí)內(nèi)核
服務(wù): mysql redis 等等
不要有公網(wǎng)IP地址
如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
一定要設(shè)定比較復(fù)雜的密碼認(rèn)證
web: nginx tomcat 應(yīng)用層
HTTPS WAF -->web應(yīng)用防火墻 (防火墻+WAF防火墻) --> http/https協(xié)議
安全寶 牛盾云 安全狗 知道創(chuàng)宇 阿里云
云環(huán)境:
系統(tǒng)層面: SSH
安騎士(免費(fèi)版) 云安全中心(收費(fèi)版)
快照 ---> 使用快照需要購(gòu)買存儲(chǔ)空間
服務(wù)層面: redis mysql
不要有公網(wǎng)IP地址
如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
一定要設(shè)定比較復(fù)雜的密碼認(rèn)證
安全組(防火墻) web層面: HTTPS 云WAF
數(shù)據(jù)層面:
備份
異地備份
上網(wǎng) --->VPC --->NAT網(wǎng)關(guān) (端口映射)
找?guī)准易霭踩? ngi nx+lua
云架構(gòu)
高防IP --->DDOS WAF防火墻 --->漏洞注入
HTTPS ---->防劫持 防篡改
HTTPS+WAF+負(fù)載均衡
https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.1118 6623.6.573.c85f5414Ajl83H HTTPS+高仿IP+WAF+負(fù)載均衡
https://help.aliyun.com/document_detail/35163.html?spm=a2c4g.1118 6623.6.792.2fc36251vRqVB1
高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http
考慮安全 性能差
考慮性能 安全弱

3 3.2 Firewalld防火墻

firewalld ---> 無需網(wǎng)絡(luò)知識(shí) ---> 自動(dòng)擋汽車 不支持花活
iptables ---> 依賴網(wǎng)絡(luò)知識(shí) ----> 手動(dòng)擋汽車 花活
firewalld比iptables簡(jiǎn)單--->
圖形界面操作 GUI 太復(fù)雜
命令行操作 CLI 簡(jiǎn)單
80 22 3306
一個(gè)網(wǎng)卡僅能綁定一個(gè)區(qū)域。比如: eth0-->A區(qū)域
但一個(gè)區(qū)域可以綁定多個(gè)網(wǎng)卡。比如: B區(qū)域-->eth0、eth1、eth2
還可以根據(jù)來源的地址設(shè)定不同的規(guī)則。比如:所有人能訪問80
端口,但只有公司的IP才允許訪問22端口。
firewalld查看處于哪個(gè)區(qū)域

[root@manager ~]# firewall-cmd --get-active-zones public 1234 
[root@manager ~]# firewall-cmd --list-all 
 public (active) 
 target: default 
 icmp-block-inversion: no 
 interfaces: eth0 eth1 
 sources: 
 services: ssh dhcpv6-client 
 ports: 
 protocols: 
 masquerade: no 
 forward-ports:

*3.使用firewalld各個(gè)區(qū)域規(guī)則結(jié)合配置,調(diào)整默認(rèn)public區(qū)域拒絕所
有流量,但如果來源IP是10.0.0.0/24網(wǎng)段則允許。 復(fù)規(guī)則實(shí)現(xiàn)(只需要
一個(gè)區(qū)域)

 [root@manager ~]# firewall-cmd --remove-service= {ssh,dhcpv6-client} 
 [root@manager ~]# firewall-cmd --add- source="10.0.0.0/24" --zone=trusted 
 [root@manager ~]# firewall-cmd --get-active-zones 4 public 5 interfaces: eth0 eth1 6 trusted 7 sources: 10.0.0.0/24 8910 #清空配置 
 [root@manager ~]# firewall-cmd --reload 12 4.firewalld放行端口
 #添加放行端口 
 [root@manager ~]# firewall-cmd --add-port=80/tcp 
 [root@manager ~]# firewall-cmd --add-port= {8081/tcp,8082/tcp} 45 #移除放行端口 
 [root@manager ~]# firewall-cmd --remove-port=80/tcp 
 [root@manager ~]# firewall-cmd --remove-port= {8081/tcp,8082/tcp} 
 [root@manager ~]# firewall-cmd --list-all 
 public (active) 
 target: default 
 icmp-block-inversion: no 
 interfaces: eth0 eth1 
 sources: 
services: ssh dhcpv6-client 
 ports: 80/tcp 8081/tcp 8082/tcp 
 protocols: 
masquerade: no 
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules: 5.放行服務(wù)--->對(duì)應(yīng)的還是端口-->比端口看起來更清晰 1 [root@manager ~]# firewall-cmd --add-service=http 
[root@manager ~]# firewall-cmd --add-service=https 
[root@manager ~]# firewall-cmd --add-service= {zabbix-agent,zabbix-server} 
[root@manager ~]# firewall-cmd --list-all 
 public (active) 
 target: default 
 icmp-block-inversion: no
 interfaces: eth0 eth1 
 sources: 
 services: ssh dhcpv6-client http https zabbix- agent zabbix-server 
 ports: 
 protocols: 
 masquerade: no 
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules: 
 移除 
[root@manager ~]# firewall-cmd --remove-service= {zabbix-agent,zabbix-server} 
4.自定義服務(wù)名稱--->服務(wù)對(duì)應(yīng)的端口 8080 8081 8082 -->api業(yè)務(wù)
[root@manager services]# cd /usr/lib/firewalld/services 
[root@manager services]# cp http.xml api.xml 
[root@manager services]# cat api.xml 
 <?xml version="1.0" encoding="utf-8"?> 
 <service> 
 <short>API (HTTP)</short> 
 <port protocol="tcp" port="8081"/> 
 <port protocol="tcp" port="8082"/> 
 <port protocol="tcp" port="8083"/> 
 </service> 
[root@manager services]# firewall-cmd --reload 13 success 
[root@manager services]# firewall-cmd --add- service=api
 success

5.firewalld實(shí)現(xiàn)端口轉(zhuǎn)發(fā)

路由器 ---------->TPLINK
虛擬機(jī)Vmware Nginx四層TCP/IP (類似 和lvs不一樣) Firewalld 1 firewall-cmd --permanent --zone=<區(qū)域> --add- forward-port=port=<源端口號(hào)>:proto=<協(xié)議>:toport=< 目標(biāo)端口號(hào)>:toaddr=<目標(biāo)IP地址> 
[root@manager ~]# firewall-cmd --add-forward- port=port=5555:proto=tcp:toport=22:toaddr=172.1 6.1.31 45 # 地址偽裝 
[root@manager ~]# firewall-cmd --add-masquerade 7 #---------------------------------------------- ---------> 8 #管理上抓包 
[root@manager ~]# tcpdump port 5555 -nn 1011 #后端主機(jī)的抓包 
[root@nfs ~]# tcpdump -i eth1 port 22 -nn 6.Firewalld富規(guī)則
[root@Firewalld ~]# man firewalld.richlanguage # 獲取富規(guī)則手冊(cè) 
 rule 3 [source] 4 [destination] 5 service|port|protocol|icmp- block|masquerade|forward-port 6 [log] 7 [audit] 8 [accept|reject|drop] 910 rule [family="ipv4|ipv6"] 11 source address="address[/mask]" [invert="True"] 12 service name="service name" 13 port port="port value" protocol="tcp|udp" 14 forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address" 15 accept | reject [type="reject type"] | drop 1.允許10.0.0.1主機(jī)能夠訪問 http服務(wù),允許172.16.1.0/24能訪問8080端 口
1 10.0.0.1 ---> 80 http 除此以外都不可以 訪問 2 172.16.1.x ---> 8080 api 除此以外都不可以 訪問 34 [root@manager ~]# firewall-cmd --reload 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="http" accept' 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="api" accept' 2.默認(rèn)public區(qū)域?qū)ν忾_放所有人能通過ssh服務(wù)連接,但拒絕
172.16.1.0/24網(wǎng)段通過ssh連接服務(wù)器* 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop' 3.使用firewalld,允許所有人能訪問http,https服務(wù),但只有10.0.0.1主 機(jī)可以訪問ssh服務(wù)
[root@manager ~]# firewall-cmd --reload 
[root@manager ~]# firewall-cmd --add-service= {http,https} 
[root@manager ~]# firewall-cmd --remove-service=ssh 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="ssh" accept' 678 ####使用端口方式 2222 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="2222" protocol=tcp accept' 4.當(dāng)用戶來源IP地址是10.0.0.1主機(jī),則將用戶請(qǐng)求的5555端口轉(zhuǎn)發(fā)至 后端172.16.1.31的22端口 1 任何人訪問10.0.0.61 5555端口都給轉(zhuǎn)發(fā) 2 10.0.0.1 ---> 10.0.0.61 5555 ---> 172.16.1.31 22 
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward- port port="5555" protocol="tcp" to-port="22" to- addr="172.16.1.31"' 
[root@manager ~]# firewall-cmd --add-masquerade 
7.firewalld實(shí)現(xiàn)共享上網(wǎng) 在指定的帶有公網(wǎng)IP的實(shí)例上啟動(dòng)Firewalld防火墻的NAT地址轉(zhuǎn)換,以 此達(dá)到內(nèi)部主機(jī)上網(wǎng)。
詳細(xì)流程
1.firewalld防火墻開啟masquerade, 實(shí)現(xiàn)地址轉(zhuǎn)換 
[root@Firewalld ~]# firewall-cmd --add-masquerade -- permanent 
[root@Firewalld ~]# firewall-cmd --reload 
2.客戶端將網(wǎng)關(guān)指向firewalld服務(wù)器,將所有網(wǎng)絡(luò)請(qǐng)求交給firewalld
[root@web03 ~]# cat /etc/sysconfig/network- scripts/ifcfg-eth1 2 GATEWAY=172.16.1.61 3.客戶端還需配置dns服務(wù)器
[root@web03 ~]# cat /etc/resolv.conf 2 nameserver 223.5.5.5 4.重啟網(wǎng)絡(luò),使其配置生效 1 [root@web03 ~]# ifdown eth1 && ifup eth1 5.測(cè)試后端web的網(wǎng)絡(luò)是否正常  
[root@web03 ~]# ping baidu.com 2 PING baidu.com (123.125.115.110) 56(84) bytes of data. 3 64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=127 time=9.08 ms firewalld共享上網(wǎng)

方式不是特別推薦 (阿里云上如何實(shí)現(xiàn)---> 提交工單)
推薦:
物理環(huán)境: 使用路由器來實(shí)現(xiàn)上網(wǎng)
云環(huán)境: 推薦使用NAT網(wǎng)關(guān)設(shè)備
安全體系: OSI七層模型 --->
云架構(gòu) ( 高防IP + WAF防火墻 ) | 單機(jī)架構(gòu)| 集群架構(gòu) |多機(jī)房 | SOA
WAF+負(fù)載均衡配置
1.配置負(fù)載均衡+多web節(jié)點(diǎn)
2.配置WAF ---> 指向負(fù)載均衡的公網(wǎng)IP地址 --->完成后會(huì)生成一個(gè)
cname的域名. 3.配置DNS 解析---> 指向WAF cname 4.配置HTTPS,請(qǐng)將證書傳一份至WAF上, 至于負(fù)載均衡需不需要看
情況.
高防IP + WAF防火墻 + 負(fù)載均衡
Firewalld 默認(rèn)是拒絕所有端口
區(qū)域概念
放行端口
放行服務(wù)
端口轉(zhuǎn)發(fā)
共享上網(wǎng)
富規(guī)則

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 1.安全 (1)硬件環(huán)境: ①硬件層面: 電源 (UPS) 溫度監(jiān)控 機(jī)柜上鎖 磁盤報(bào)警②系統(tǒng)層面: 更換默認(rèn)SS...
    江枍_a99e閱讀 314評(píng)論 0 1
  • 今日內(nèi)容 firewalld防火墻 (軟件型) firewalld防火墻-->區(qū)域 firewalld放行端口相關(guān)...
    JoinMyTeam閱讀 505評(píng)論 0 0
  • 1.目錄 1.題目---> 2.安全 3.firewalld防火墻 (軟件型) 4.firewalld防火墻-->...
    人氣昂閱讀 571評(píng)論 0 1
  • 1.本周內(nèi)容 firewalld防火墻 ansible自動(dòng)化配置工具 (安裝 配置 啟動(dòng) ) 2.今日內(nèi)容 1.題...
    5不忘初心0閱讀 111評(píng)論 0 0
  • 一個(gè)人的格局決定做事的方向,跟有頭腦有想法的人在一起自己的境界也會(huì)提升,所以跟什么樣的人交往很重要 與人多交流,遇...
    Tracy_zhang閱讀 155評(píng)論 0 2

友情鏈接更多精彩內(nèi)容