【RH134知识点问答题】第11章 管理网络安全

道清茗2026-03-16 12:56

目录

[1. 防火墙在 Linux 系统安全中有哪些重要的作用?](#1. 防火墙在 Linux 系统安全中有哪些重要的作用?)

[2. 简单说明一下 firewalld。](#2. 简单说明一下 firewalld。)

[3. 系统管理员可以通过哪三种方式与 firewalld 交互?](#3. 系统管理员可以通过哪三种方式与 firewalld 交互?)

[4. 使用什么命令可以获取当前端口标签分配概述?](#4. 使用什么命令可以获取当前端口标签分配概述?)

[5. 要允许 httpd 服务侦听端口 82/TCP,可以使用什么命令?](#5. 要允许 httpd 服务侦听端口 82/TCP,可以使用什么命令?)

总结

在 Linux 系统中,网络安全是系统管理的核心环节。防火墙和 SELinux 是 RHEL9 保证系统安全的两大重要工具。

1. 防火墙在 Linux 系统安全中有哪些重要的作用?

防火墙是 Linux 系统的第一道网络安全防线,主要作用包括:

  1. 精细化访问控制

    防火墙可以根据源 IP、目标 IP、端口和协议(TCP/UDP)过滤网络流量,只允许合法请求进入或流出系统,阻止恶意访问。

  2. 网络区域隔离

    系统可以划分不同安全区域(zone),如信任区、公网区等。不同区域之间的流量受限,降低攻击面,保护关键服务。

  3. 攻击防护

    防火墙可以拦截常见网络攻击,如端口扫描、SYN 洪水和恶意数据包,阻止未授权服务暴露到公网。

  4. 流量审计与日志

    所有通过防火墙的流量都可以被记录,方便管理员排查攻击行为、分析访问模式。

  5. NAT / 端口转发

    内网服务可以安全对外暴露,例如将公网 80 端口转发到内网服务器,同时隐藏真实内网 IP。

防火墙不仅是安全工具,更是系统流量管理的核心。

2. 简单说明一下 firewalld。

RHEL9 使用 firewalld 作为防火墙管理工具,它通过 zone(区域)和规则来控制流量:

  • 当系统收到数据包时,firewalld 会先检查源地址,如果源地址属于某个 zone,则应用该 zone 的规则。

  • 如果源地址未分配 zone,firewalld 会根据网络接口的 zone 应用规则。

  • 如果网络接口未关联任何 zone,则使用默认 zone。

  • 默认 zone 是 publiclo(回环接口)映射到 trusted zone。

  • zone 会允许符合规则的端口、协议或预定义服务(如 ssh)通过,不匹配的流量默认拒绝。

firewalld 通过"区域 + 规则"的方式实现精细化控制,同时提供了默认安全策略。

3. 系统管理员可以通过哪三种方式与 firewalld 交互?

  1. 命令行工具 firewall-cmd(最常用)

    • 适合服务器或无图形界面的系统。

    • 可进行开放端口、切换 zone、查看规则等操作。

    • 示例:查看当前 zone 配置

      bash 复制代码 
      firewall-cmd --list-all

  2. 图形界面工具 firewall-config

    • 适合桌面或新手使用。

    • 可通过鼠标操作直观配置区域、端口和服务。

  3. 直接编辑配置文件

  • 配置文件位置:

    • 自定义规则:/etc/firewalld/

    • 系统默认规则:/usr/lib/firewalld/

  • 修改后需重载防火墙:

    bash 复制代码 
    firewall-cmd --reload

  • 适合批量或自动化管理。

4. 使用什么命令可以获取当前端口标签分配概述?

运行 semanage port -l 命令获取所有当前端口标签分配信息

5. 要允许 httpd 服务侦听端口 82/TCP,可以使用什么命令?

如果要允许 httpd 服务侦听 82/TCP 端口,需要同时在 SELinux 和 firewalld 层面设置:

  1. SELinux 层面(允许 httpd 绑定 82 端口):

    bash 复制代码 
    sudo semanage port -a -t http_port_t -p tcp 82

2.firewalld 层面(放行端口流量):

bash 复制代码 
# 临时放行(重启失效)
sudo firewall-cmd --add-port=82/tcp

# 永久放行(推荐,重载后生效)
sudo firewall-cmd --add-port=82/tcp --permanent

# 重载规则使永久配置生效
sudo firewall-cmd --reload

通过这种方式,httpd 服务可以安全绑定非默认端口,同时系统防火墙允许相关流量通过。

总结

RHEL9 的网络安全管理依赖 firewalld + SELinux 两大工具:

  • firewalld 提供区域 + 规则的防护,支持精细化访问控制、区域隔离和端口转发。
  • SELinux 负责访问控制与端口绑定策略,确保服务只能在授权范围内运行。

掌握 firewalld 的 zone 管理、端口配置及 SELinux 的端口策略,是 RHEL9 管理员必备技能。结合命令行和图形界面工具,可以轻松实现安全、灵活的网络管理。

相关推荐
AlfredZhao1 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
Flynt2 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
戴为沐3 天前
Linux内存扩容指南
linux
zylyehuo3 天前
Linux 彻底且安全地删除文件
linux
用户805533698033 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297913 天前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux
Web3探索者5 天前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zylyehuo5 天前
Linux系统中网线与USB网络共享冲突
linux
Sokach10156 天前
Linux Shell 脚本从零到能用:一个新手的一天学习总结
linux
冬奇Lab7 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04飞书长连接_事件订阅(接收消息,审批任务状态变更)05Trae国际版与国内版深度测评:AI原生IDE的双生花06【AI】2026 年具身智能模型和世界模型总结07GitHub 镜像站点08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?