1. 程式人生 > >系統安全保護與防火墻策略

系統安全保護與防火墻策略

實現 ins config ports get 過濾 dex 禁用 防火墻策略

SELinux模式的切換

enforcing(強制)
permissive(寬松)
disabled(禁用)
與disabled模式相關的切換都需要重啟
getenforce ----查看模式
臨時切換:setenforce 1|0 (1-強制,0-寬松)
永久配置:/etc/selinux/config

搭建基本的Web服務

  yum -y install httpd

  systemctl restart httpd

  systemctl enable httpd(開機自啟) 

  本機訪問測試>>> firefox ip

    firefox 172.25.0.11

  書寫網頁文件:  

    /var/www/html (httpd默認網頁文件路徑)

    index.html (httpd默認為網頁名稱)

    

搭建基本的ftp服務

  FTP------文件傳輸協議

  yum -y install vsftpd

  systemctl restart vsftpd

  systemctl enable vsftpd

  本機訪問測試: firefox ftp://ip

    firefox ftp://172.25.0.11

  FTP默認共享路徑:

    var/ftp

防火墻策略:

作用:過濾和隔離

  允許出站,過濾入站

firewalld服務基礎

  firewall-cmd firewall-config(圖形)

--public   僅允許訪問本機的sshd dhcp ping等少數幾個服務

--trusted   允許任何訪問  

--block   阻塞任何來訪請求(明確拒絕)

--drop    丟棄任何來訪的數據包(沒有回應,直接丟棄,節省資源)

默認區域(public): root用戶可以修改

[root@server0 ~]# firewall-cmd --get-default-zone #查看默認區域
public
[root@server0 ~]# firewall-cmd --set-default-zone=block  #修改默認區域
success
[root@server0 ~]# firewall-cmd --get-default-zone
block

數據包內容:源IP地址 目標IP地址 數據

public區域添加服務的協議

[root@server0 ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp
success
[root@server0 ~]# firewall-cmd --zone=public --add-service=http
success
[root@server0 ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client ftp http ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
[root@desktop0 ~]# firefox 172.25.0.11
[root@desktop0 ~]# firefox ftp://172.25.0.11

防火墻實現永久策略: 

  --permanent(永久)

  firewall-cmd --reload

[root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=http
success
[root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=ftp
success
[root@server0 ~]# firewall-cmd --reload 
success          
[root@server0 ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client ftp http ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

系統安全保護與防火墻策略