1.防火墙分类 ( 软件 iptables、firewalld 硬件 )
流入:PREROUTING --> INPUT --> OUTPUT
转发:PREROUTING --> FORWARD --> OUTPUT
流出:POSTROUTETING --> PREROUTING
iptables -I INPUT -p tcp -dport 80 -j drop
firewall-cmd --add-port=80/tcp #操作简单
2.安全
硬件环境
云环境
从哪些方面打造安全环境
硬件环境: OSI七层模型顺序说明
硬件层面: 电源 (UPS) 温度监控 机柜上锁 磁盘报警 IDRAC
系统层面:
调整默认远程连接的SSH端口
统一使用密钥认证方式登陆
使用防火墙限制来源IP才能连接SSH
刚装系统建议升级软件、升级内核
服务层面:
mysql redis 建议设定比较复杂的密码
不要有公网IP地址,纵使有也不要监听在0.0.0.0
WEB应用:
1.HTTPS保证数据传输的安全
2.接入WAF(web应用防火墙) 请求参数不合规则拦截
3.安全宝 牛盾云 安全狗 知道创宇 阿里云
————————————————————————————————————————
云上环境: OSI
系统层面:
1.安全组(控制来源的IP)
2.安骑士(免费版)、云安全中心(收费版)
3.快照,使用快照需要购买存储空间
服务层面:
mysql redis 建议设定比较复杂的密码
不要有公网IP地址,纵使有也不要监听在0.0.0.0
WEB应用:
1.HTTPS保证数据传输的安全
2.接入WAF(web应用防火墙) 请求参数不合规则拦截
3.安全宝 牛盾云 安全狗 知道创宇 阿里云
4.接入高防IP
数据层面:
备份
异地备份
考虑安全 考虑性能
性能差 安全弱
firewalld介绍
firewalld是一个centos7以上系统的内置防火墙,非常之简单。但是底层还是调的netfilter
firewalld核心概念
区域:事先定义好的模板集合。
选择对应的区域,就能应用对应区域的模板规则。
区域需要捆绑网络接口的:
一个区域可以绑定多个网卡
pubilc --> eth0 eth1 ( public中放行了80端口,就意味着对 eth0 eth1 的请求进行了规则控制 )、
一个网卡只能绑定一个区域
eth0 --> public 区域 ( 拒绝22端口 )
可以基于来源的IP进行规则的控制。( 结合多个区域规则来使用。 )
1.启动firewalld
2.查看我们所处的区域
public
3.查看public规则明细
public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
4. 使用firewalld各个区域规则结合配置
4.1 调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许。
public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
trusted (active) target: ACCEPT icmp-block-inversion: no interfaces: sources: 10.0.0.0/24 services: ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
4.2 使用firewalld放行端口和移除端口
4.3 使用firewalld放行服务和移除端口
( http-->80 https-->443 ssh-->22 )
4.4 端口转发
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
10.0.0.1 10.0.0.7:5555 -->172.16.1.8:22
[root@web01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.8
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop] rule [family="ipv4|ipv6"] source address="address[/mask]" [invert="True"] service name="service name" port port="port value" protocol="tcp|udp" forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address" accept | reject [type="reject type"] | drop
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=http accept' [root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port="8080" protocol="tcp" accept'
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" service name="ssh" drop'
[root@web01 ~]# firewall-cmd --add-service={http,https} [root@web01 ~]# firewall-cmd --remove-service=ssh [root@web01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1/32" service name=ssh accept'
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr=172.16.1.8' [root@web01 ~]# firewall-cmd --add-masquerade
iptables实现内部主机共享上网:
firewalld实现内部主机共享上网:
两台设备:
TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes NAME=eth1 DEVICE=eth1 ONBOOT=yes IPADDR=172.16.1.8 PREFIX=24 GATEWAY=172.16.1.7 DNS1=223.5.5.5
NAT
DNAT:目标地址转换 端口映射
SNAT:源地址转换 共享上网
- 海报