管理网络安全

1.管理服务器的防火墙

(1)netfilter

Linux 内核提供了 netfilter 框架,它是网络流量操作(如数据包过滤、网络地址转换和端口转换)的框架。netfilter 框架包含用于内核模块的 hook。

(2)nftables -->定义防火墙规则

nftables 数据包分类框架基于netfilter 框架而构建,可将防火墙规则应用到网络流量。在 RHEL9 中,nftables 是系统防火墙核心,取代了已弃用的 iptables 框架

(3)firewalld

firewalld 是一个防火墙管理器,它是 nftables 框架的前端(使用 nft 命令)

在 nftables 之前,firewalld 是一种 iptables 服务的替代方案,firewalld 曾使用 iptables 命令来直接配置 netfilter

借助 firewalld,可以将所有网络流量分为多个 zone,从而简化防火墙。根据数据包源 IP 地址或传入网络接口等条件,流量将转入相应 zone 的防火墙规则。每个 zone 都有自己的端口和服务列表,它们处于打开或者关闭状态

预定义服务

Firewalld 上有一些预定义服务。这些服务定义可帮助识别要配置的特定网络服务。例如,可指定预构建的 nfs 服务来配置正确的端口和协议,而无需研究 nfs 服务的相关端口

服务名称 配置
SSH 本地 SSH 服务器,到 22/tcp 的流量
dhcpv6-client 本地 DHCPv6 客户端,到 fe80::/64 IPv6 网络中 546/udp 的流量
ipp-client 本地 IPP 打印,到 631/udp 的流量
samba-client 本地 Windows 文件和打印共享客户端,到 137/udp 和 138/udp 的流量
mdns 多播 DNS (mDNS) 本地链路名称解析,到 5353/udp 指向 224.0.0.251 (IPv4) 或 ff02::fb (IPv6) 多播地址的流量

(3)从命令行定义防火墙

firewall-cmd是firewalld的客户端

几乎所有命令都作用于 runtime 配置,当指定 --permanent 选项时除外

如果指定了 --permanent(修改配置文件),还须通过运行 firewall-cmd --reload 命令来激活设置,它将读取当前的永久配置并将其作为新的 runtime 配置来应用

许多命令都采用 --zone=ZONE 选项来确定所影响的区域

如果需要子网掩码,可使用 CIDR 表示法,如 192.168.1/24

2.SElinux端口标记

列出端口标签 --> semanage port -l

使用 grep 命令,通过服务名称过滤 SELinux 端口标签

root@host \~# semanage port -l | grep ftp

ftp_data_port_t tcp 20

ftp_port_t tcp 21, 989, 990

ftp_port_t udp 989, 990

tftp_port_t udp 69

使用 grep 命令,通过端口号过滤 SELinux 端口标签

root@host \~# semanage port -l | grep -w 70

gopher_port_t tcp 70

gopher_port_t udp 70

管理端口标签

使用 semanage 命令可以分配新端口标签、删除端口标签或修改现有端口标签,-a 添加;-t 类型;-p 协议

删除端口标签

  • 删除自定义端口标签的语法与添加端口标签的语法相同,使用 -d 选项

    shell

    复制代码
    [root@host ~]# semanage port -d -t gopher_port_t -p tcp 71

修改端口标签

  • 使用 -m 选项更改端口绑定,这种流程比删旧添新更高效

    shell

    复制代码
    [root@server ~]# semanage port -m -t http_port_t -p tcp 71
相关推荐
雾沉川19 分钟前
Netcatty 开源 SSH 客户端完整技术使用教程
运维·开源·ssh
石小千19 分钟前
修改Docker Engine 存储路径
运维·docker·容器
mounter62534 分钟前
Linux 7.2 内核技术前瞻:核心 subsystems 合并与重构深度解析
linux·kernel
珠海西格电力36 分钟前
西格电力零碳园区管理系统:核心功能全解析,赋能园区低碳智能化落地
大数据·运维·网络·人工智能·信息可视化·能源
深盾科技_Virbox38 分钟前
软件授权工具静默安装实践
java·运维·数据库·安全·软件需求
qq_452396231 小时前
第二篇:《Jenkins 从零搭建:安装、配置与第一个 Pipeline》
java·运维·jenkins
Hui Baby1 小时前
kubeconfig 文件生成和赋权
运维
A_humble_scholar1 小时前
Linux(十七)深入多线程编程:同步原语与实战指南
linux·运维·c++
老马聊技术1 小时前
Rocky Linux 9.0 安装 MySQL8.x详细教程
linux·数据库
xinyu3912 小时前
旧版Ubuntu Docker镜像 apt 失败
linux·ubuntu·docker