linux是否有防火墻
本篇內(nèi)容介紹了“l(fā)inux是否有防火墻”的有關(guān)知識,在實際案例的操作過程中����,不少人都會遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學習一下如何處理這些情況吧����!希望大家仔細閱讀,能夠?qū)W有所成����!
linux有防火墻����,防火墻幾乎是公網(wǎng)上Linux服務器必備的軟件����。很多Linux發(fā)行版本已經(jīng)自帶了防火墻,通常是iptables����;而Fedora、CentOS����、Red Hat發(fā)行版本上,默認安裝的防火墻軟件是firewalld����,可通過“firewall-cmd”命令來配置和控制。
Linux是有防火墻和殺毒軟件的����。防火墻幾乎是公網(wǎng)上Linux服務器必備的軟件。另外各機房幾乎都有硬件防火墻����,用來進行入侵檢測,攻擊防護等����。
合理的防火墻是你的計算機防止網(wǎng)絡入侵的第一道屏障。你在家里上網(wǎng)����,通常互聯(lián)網(wǎng)服務提供會在路由中搭建一層防火墻����。當你離開家時,那么你計算機上的那層防火墻就是僅有的一層����,所以配置和控制好你 Linux 電腦上的防火墻很重要。如果你維護一臺 Linux 服務器����,那么知道怎么去管理你的防火墻同樣重要,只要掌握了這些知識你才能保護你的服務器免于本地或遠程非法流量的入侵����。
Linux安裝防火墻
很多 Linux 發(fā)行版本已經(jīng)自帶了防火墻����,通常是 iptables����。它很強大并可以自定義,但配置起來有點復雜����。幸運的是,有開發(fā)者寫出了一些前端程序來幫助用戶控制防火墻����,而不需要寫冗長的 iptables 規(guī)則。
在 Fedora����、CentOS、Red Hat 和一些類似的發(fā)行版本上����,默認安裝的防火墻軟件是 firewalld,通過 firewall-cmd 命令來配置和控制����。在 Debian 和大部分其他發(fā)行版上����,可以從你的軟件倉庫安裝 firewalld����。Ubuntu 自帶的是簡單防火墻Uncomplicated Firewall(ufw)����,所以要使用 firewalld,你必須啟用 universe 軟件倉庫:
$ sudo add-apt-repository universe
$ sudo apt install firewalld
你還需要停用 ufw:
$ sudo systemctl disable ufw
沒有理由不用 ufw����。它是一個強大的防火墻前端。然而����,本文重點講 firewalld,因為大部分發(fā)行版都支持它而且它集成到了 systemd����,systemd 是幾乎所有發(fā)行版都自帶的。
不管你的發(fā)行版是哪個����,都要先激活防火墻才能讓它生效����,而且需要在啟動時加載:
$ sudo systemctl enable --now firewalld
理解防火墻的域
Firewalld 旨在讓防火墻的配置工作盡可能簡單����。它通過建立域zone來實現(xiàn)這個目標。一個域是一組的合理����、通用的規(guī)則,這些規(guī)則適配大部分用戶的日常需求����。默認情況下有九個域。
trusted:接受所有的連接����。這是最不偏執(zhí)的防火墻設置,只能用在一個完全信任的環(huán)境中����,如測試實驗室或網(wǎng)絡中相互都認識的家庭網(wǎng)絡中。
home����、work����、internal:在這三個域中����,接受大部分進來的連接。它們各自排除了預期不活躍的端口進來的流量����。這三個都適合用于家庭環(huán)境中����,因為在家庭環(huán)境中不會出現(xiàn)端口不確定的網(wǎng)絡流量,在家庭網(wǎng)絡中你一般可以信任其他的用戶����。
public:用于公共區(qū)域內(nèi)。這是個偏執(zhí)的設置����,當你不信任網(wǎng)絡中的其他計算機時使用。只能接收選定的常見和最安全的進入連接����。
dmz:DMZ 表示隔離區(qū)����。這個域多用于可公開訪問的����、位于機構(gòu)的外部網(wǎng)絡、對內(nèi)網(wǎng)訪問受限的計算機����。對于個人計算機,它沒什么用����,但是對某類服務器來說它是個很重要的選項。
external:用于外部網(wǎng)絡����,會開啟偽裝(你的私有網(wǎng)絡的地址被映射到一個外網(wǎng) IP 地址,并隱藏起來)����。跟 DMZ 類似,僅接受經(jīng)過選擇的傳入連接����,包括 SSH����。
block:僅接收在本系統(tǒng)中初始化的網(wǎng)絡連接����。接收到的任何網(wǎng)絡連接都會被 icmp-host-prohibited 信息拒絕。這個一個極度偏執(zhí)的設置����,對于某類服務器或處于不信任或不安全的環(huán)境中的個人計算機來說很重要。
drop:接收的所有網(wǎng)絡包都被丟棄����,沒有任何回復����。僅能有發(fā)送出去的網(wǎng)絡連接。比這個設置更極端的辦法����,唯有關(guān)閉 WiFi 和拔掉網(wǎng)線。
你可以查看你發(fā)行版本的所有域����,或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設置����。舉個例子:下面是 Fefora 31 自帶的 FedoraWorkstation 域:
$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Fedora Workstation</short>
<description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="samba-client"/>
<port protocol="udp" port="1025-65535"/>
<port protocol="tcp" port="1025-65535"/>
</zone>
獲取當前的域
任何時候你都可以通過 --get-active-zones 選項來查看你處于哪個域:
$ sudo firewall-cmd --get-active-zones
輸出結(jié)果中����,會有當前活躍的域的名字和分配給它的網(wǎng)絡接口。筆記本電腦上����,在默認域中通常意味著你有個 WiFi 卡:
FedoraWorkstation
interfaces: wlp61s0
修改你當前的域
要更改你的域,請將網(wǎng)絡接口重新分配到不同的域����。例如,把例子中的 wlp61s0 卡修改為 public 域:
$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public
你可以在任何時候����、任何理由改變一個接口的活動域 —— 無論你是要去咖啡館,覺得需要增加筆記本的安全策略����,還是要去上班,需要打開一些端口進入內(nèi)網(wǎng)����,或者其他原因����。在你憑記憶學會 firewall-cmd 命令之前����,你只要記住了關(guān)鍵詞 change 和 zone,就可以慢慢掌握����,因為按下 Tab 時,它的選項會自動補全����。
“l(fā)inux是否有防火墻”的內(nèi)容就介紹到這里了,感謝大家的閱讀����。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站����,小編將為大家輸出更多高質(zhì)量的實用文章!
