linux笔记(防火墙)

一、概述

  1. 防火墙的作用
    在 Linux 系统中,防火墙用于控制进出系统的网络流量,基于预定义的安全规则允许或拒绝数据包,从而保护系统免受未经授权的访问、恶意攻击,并确保网络服务的安全运行。

二、常见的 Linux 防火墙软件

  1. iptables

    • 基本介绍:是 Linux 内核中集成的一款经典的防火墙软件,基于 Netfilter 框架工作。它通过定义规则链( Chains)和规则(Rules)来实现对网络流量的过滤。
    • 规则链类型:包括 INPUT(处理进入本机的数据包)、OUTPUT(处理本机发出的数据包)、FORWARD(处理经过本机转发的数据包,常用于路由器等有转发功能的设备)等。例如,若要阻止某个 IP 地址访问本机的 SSH 服务,可以在 INPUT 链添加规则。
    • 规则操作:可以对符合条件的数据包执行 ACCEPT(允许通过)、DROP(直接丢弃,不回应)、REJECT(拒绝,向源端发送错误信息)等操作。
    • 表(Tables)的概念:iptables 有不同的表,如 filter 表(用于过滤数据包,是最常用的表,主要涉及 INPUT、OUTPUT、FORWARD 链)、nat 表(用于网络地址转换,如端口转发、源地址伪装等)、mangle 表(用于修改数据包的某些标志位等)。
  2. firewalld

    • 基本介绍:是 CentOS 等 Linux 发行版中新一代的防火墙管理工具,它提供了动态管理防火墙规则的功能,支持区域(Zones)的概念。
    • 区域概念:不同的区域有不同的默认安全级别和策略。例如,public 区域通常用于公共网络环境,默认拒绝大多数传入连接;trusted 区域则允许所有的网络连接。可以根据网络接口所处的环境将其分配到不同的区域。
    • 动态管理:相比 iptables,firewalld 可以在不重启防火墙服务的情况下动态地修改规则和区域设置,更适合于需要频繁更改防火墙策略的场景,如在服务器运行过程中临时开放某个端口用于调试。

iptables和firewalld对比:

  • firewalld可以动态修改单条规则,不需要像iptables那样,修改规则后必须全部刷新才可生效

  • firewalld默认动作是拒绝,则每个服务都需要去设置才能放行,而iptables里默认是每个服务是允许,需要拒绝的才去限制

  • iptables防火墙类型为静态防火墙firewalld 防火墙类型为****动态防火墙

  • firewalld和iptables一样自身并不具备防火墙功能,它们的作用都是用于维护规则,而****真正使用规则干活的是内核防火墙模块

  • firewalld****加入了区域(zone)概念

三、iptables 知识点

  1. 规则的基本组成部分

    • 匹配条件:包括源 IP 地址、目的 IP 地址、端口号、协议类型(如 TCP、UDP、ICMP)等。例如,可以设置规则只允许来自特定网段(如 192.168.1.0/24)的 TCP 协议数据包通过某个端口。
    • 目标动作:如上述提到的 ACCEPT、DROP、REJECT 等。
  2. 命令语法示例

    • 查看规则iptables -L(列出当前的 iptables 规则,默认查看 filter 表的规则),可以添加-n参数以数字形式显示 IP 地址和端口号,添加-v参数查看更详细的规则信息,如数据包和字节计数器。
    • 添加规则iptables -A INPUT -s 192.168.1.100 -j DROP,此规则在 INPUT 链中添加一条拒绝来自 192.168.1.100 地址数据包的规则。
    • 删除规则iptables -D INPUT 1(删除 INPUT 链中的第一条规则,需要谨慎使用,因为删除错误可能导致意外的安全漏洞)。
    • 修改规则iptables -R INPUT 1 -s 192.168.1.200 -j ACCEPT(将 INPUT 链中的第一条规则修改为接受来自 192.168.1.200 的数据包)。
  3. 保存和恢复规则
    在基于 iptables 的系统中,由于 iptables 规则在内存中,重启系统后会丢失。可以使用iptables - save > /etc/sysconfig/iptables将当前规则保存到文件中,在系统启动时,可以通过iptables - restore < /etc/sysconfig/iptables来恢复规则。

四、firewalld 知识点

  1. 区域操作

    • 查看区域信息firewall - cmd -- get - zones(列出所有可用的区域),firewall - cmd -- get - active - zones(查看当前正在使用的区域及其关联的网络接口)。
    • 设置区域firewall - cmd -- set - zone = home -- add - interface = eth0(将 eth0 接口设置到 home 区域)。
  2. 端口和服务管理

    • 开放端口firewall - cmd -- zone = public -- add - port = 8080/tcp -- permanent(在 public 区域永久开放 TCP 端口 8080,-- permanent参数表示规则在防火墙重启后仍然有效,若不添加此参数,规则仅在当前会话有效)。
    • 开放服务firewall - cmd -- zone = public -- add - service = http -- permanent(在 public 区域永久添加 HTTP 服务,firewalld 预定义了许多常见的服务,通过服务名来管理比直接管理端口更方便和安全,因为服务名对应的端口可能会因软件版本等因素变化)。
  3. 重新加载和重启 firewalld

    • 重新加载规则firewall - cmd -- reload(重新加载防火墙规则,使新添加或修改的规则生效,不会中断已建立的连接)。
    • 重启服务systemctl restart firewalld(完全重启 firewalld 服务,会中断所有连接)。

五、防火墙策略规划与安全考虑

  1. 最小化原则
    只开放系统运行所需的网络服务和端口,关闭不必要的端口和服务,减少系统的攻击面。例如,对于一个只运行 Web 服务的服务器,只需要开放 80(HTTP)或 443(HTTPS)端口以及相关的管理端口(如果有)。
  2. 分层防御
    防火墙只是安全防护的一部分,应与其他安全措施(如 SELinux、入侵检测系统等)结合使用,构建多层次的安全防护体系。例如,即使防火墙允许了某个连接,SELinux 仍可以根据其安全策略限制该连接对系统资源的访问。
  3. 定期审查和更新
    随着系统服务的变化和网络威胁的演变,需要定期审查和更新防火墙策略。例如,当安装了新的网络服务或发现新的安全漏洞时,及时调整防火墙规则。
相关推荐
雾间云4 分钟前
【计算机网络】TCP协议特点3
网络·tcp/ip·计算机网络
祭の14 分钟前
新版Apache tomcat服务安装 Mac+Window双环境(笔记)
笔记·tomcat·apache
2401_8791036833 分钟前
24.11.15 Vue3
笔记
非概念34 分钟前
STM32学习笔记----时钟体系
笔记·stm32·嵌入式硬件·学习
tt55555555555541 分钟前
计算机网络学习笔记-3.3以太网和局域网
笔记·学习·计算机网络
怀澈12242 分钟前
【golang学习笔记】新奇语法
笔记·学习
豆 腐1 小时前
MySQL【五】
数据库·笔记·mysql
祭の1 小时前
Javaweb开发核⼼心之玩转Servlet4(笔记)
笔记
TsengOnce1 小时前
Docker安装稳定版本nginx-1.26.2
linux·nginx·docker
Raymond运维1 小时前
Rocky、Almalinux、CentOS、Ubuntu和Debian系统初始化脚本v9版
linux·运维·ubuntu·centos·debian·rocky·almalinux