Firewalld防火墙

今日内容

  • firewalld防火墙 (软件型)
  • firewalld防火墙-->区域
  • firewalld放行端口相关
  • firewalld放行服务相关
  • firewalld富规则
  • firewalld实现共享上网

1.安全

  • 硬件环境:
    • 硬件层面: 电源 (UPS) 温度监控 机柜上锁 磁盘报警
    • 系统层面:
      • 更换默认SSH端口
      • 禁止ROOT直接登录,统一使用密钥认证方式
      • 使用防火墙限制-->某个来源IP才能连接SSH
      • 软件更新 内核升级 --->已运行很久系统不要升级内核
    • 服务: mysql redis 等等
      • 不要有公网IP地址
      • 如果有公网IP,不要监听在0.0.0.0
      • 一定要设定比较复杂的密码认证
    • web: nginx tomcat 应用层
      • HTTPS
      • WAF -->web应用防火墙 (防火墙+WAF防火墙) --> http/https协议
        • 安全宝 牛盾云 安全狗 知道创宇 阿里云
  • 云环境:
    • 系统层面:
      • SSH
      • 安骑士(免费版) 云安全中心(收费版)
      • 快照 ---> 使用快照需要购买存储空间
    • 服务层面: redis mysql
      • 不要有公网IP地址
      • 如果有公网IP,不要监听在0.0.0.0
      • 一定要设定比较复杂的密码认证
      • 安全组(防火墙)
    • web层面:
      • HTTPS
      • 云WAF
    • 数据层面:
      • 备份
      • 异地备份
    • 上网 --->VPC --->NAT网关 (端口映射)
  • 云架构

考虑安全 性能差
考虑性能 安全弱

1570499089835.png

2.Firewalld防火墙

  • firewalld ---> 无需网络知识 ---> 自动挡汽车 不支持花活
  • iptables ---> 依赖网络知识 ----> 手动挡汽车 花活
  • firewalld比iptables简单--->
    • 图形界面操作 GUI 太复杂
    • 命令行操作 CLI 简单
  • 80 22 3306
  • 一个网卡仅能绑定一个区域。比如: eth0-->A区域
  • 但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2
  • 还可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。
firewalld查看处于哪个区域
[root@manager ~]# firewall-cmd --get-active-zones 
public
[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 

3.使用firewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许。 复规则实现(只需要一个区域)

[root@manager ~]# firewall-cmd --remove-service={ssh,dhcpv6-client}
[root@manager ~]# firewall-cmd --add-source="10.0.0.0/24" --zone=trusted
[root@manager ~]# firewall-cmd --get-active-zones 
public
  interfaces: eth0 eth1
trusted
  sources: 10.0.0.0/24
#清空配置
[root@manager ~]# firewall-cmd --reload

4.irewalld放行端口

#添加放行端口
[root@manager ~]# firewall-cmd --add-port=80/tcp
[root@manager ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}

#移除放行端口
[root@manager ~]# firewall-cmd --remove-port=80/tcp 
[root@manager ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}

[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp 8081/tcp 8082/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
5.放行服务--->对应的还是端口-->比端口看起来更清晰
[root@manager ~]# firewall-cmd --add-service=http
[root@manager ~]# firewall-cmd --add-service=https
[root@manager ~]# firewall-cmd --add-service={zabbix-agent,zabbix-server}
[root@manager ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client http https zabbix-agent zabbix-server
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

移除
[root@manager ~]# firewall-cmd --remove-service={zabbix-agent,zabbix-server}

6.自定义服务名称--->服务对应的端口 8080 8081 8082 -->api业务

[root@manager services]# cd /usr/lib/firewalld/services
[root@manager services]# cp http.xml api.xml
[root@manager services]# cat api.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>API (HTTP)</short>
  <port protocol="tcp" port="8081"/>
  <port protocol="tcp" port="8082"/>
  <port protocol="tcp" port="8083"/>
</service>

[root@manager services]# firewall-cmd --reload
success
[root@manager services]# firewall-cmd --add-service=api
success

7.firewalld实现端口转发

  • 路由器 ---------->TPLINK
  • 虚拟机Vmware
  • Nginx四层TCP/IP (类似 和lvs不一样)
  • Firewalld


    1570518954254.png
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@manager ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.31

# 地址伪装
[root@manager ~]# firewall-cmd --add-masquerade
#------------------------------------------------------->
#管理上抓包
[root@manager ~]# tcpdump port 5555 -nn

#后端主机的抓包
[root@nfs ~]# tcpdump -i eth1 port 22 -nn

8.Firewalld富规则

[root@Firewalld ~]# man firewalld.richlanguage  # 获取富规则手册
    rule
        [source]
        [destination]
        service|port|protocol|icmp-block|masquerade|forward-port
        [log]
        [audit]
        [accept|reject|drop]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

1.允许10.0.0.1主机能够访问 http服务,允许172.16.1.0/24能访问8080端口

10.0.0.1   --->    80         http     除此以外都不可以访问
172.16.1.x --->    8080       api      除此以外都不可以访问

[root@manager ~]# firewall-cmd --reload

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4  source address=10.0.0.1/32 service name="http" accept'

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4  source address=172.16.1.0/24 service name="api" accept'

2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器*
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop'
3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务

[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --remove-service=ssh
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="ssh" accept'
####使用端口方式  2222
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="2222" protocol=tcp accept'

4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.31的22端口

任何人访问10.0.0.61 5555端口都给转发
10.0.0.1   --->    10.0.0.61 5555   ---> 172.16.1.31 22
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.31"'
[root@manager ~]#  firewall-cmd --add-masquerade 

8.firewalld实现共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以此达到内部主机上网。
15442375496785.jpg

15517748885644.jpg

1.firewalld防火墙开启masquerade, 实现地址转换

[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
[root@Firewalld ~]# firewall-cmd --reload

2.客户端将网关指向firewalld服务器,将所有网络请求交给firewalld

[root@web03 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61

3.客户端还需配置dns服务器

[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5

4.重启网络,使其配置生效
[root@web03 ~]# ifdown eth1 && ifup eth1
5.测试后端web的网络是否正常

[root@web03 ~]# ping baidu.com
PING baidu.com (123.125.115.110) 56(84) bytes of data.
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=127 time=9.08 ms

firewalld共享上网方式不是特别推荐 (阿里云上如何实现---> 提交工单)
推荐:
物理环境: 使用路由器来实现上网
云环境: 推荐使用NAT网关设备

安全体系: OSI七层模型 --->
云架构 ( 高防IP + WAF防火墙 ) | 单机架构| 集群架构 |多机房 | SOA
WAF+负载均衡配置

  • 1.配置负载均衡+多web节点
  • 2.配置WAF ---> 指向负载均衡的公网IP地址 --->完成后会生成一个cname的域名.
  • 3.配置DNS 解析---> 指向WAF cname
  • 4.配置HTTPS,请将证书传一份至WAF上, 至于负载均衡需不需要看情况.

高防IP + WAF防火墙 + 负载均衡
Firewalld 默认是拒绝所有端口
区域概念

​ 放行端口

​ 放行服务

​ 端口转发

​ 共享上网

​ 富规则

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容