Firewalld

1.安全

硬件环境：

• 硬件层面：电源（UPS）温度监控，机柜上锁，磁盘报警
• 系统层面：
  更换默认的SSH端口
  禁止ROOT直接登陆，同意使用秘钥认证方式
  使用防火墙限制-->某个来源ip才能连接SSH
  软件更新，内核升级-->运行很久的系统不要升级内核
• 服务层面：（mysql，redis等等）
  不要有公网ip地址
  如果有公网，不要监听在0.0.0.0
  要设定比较复杂的密码认证
• WEB：nginx tomcat应用层
  HTTPS
  WAP WEB应用防火墙（防火墙+WAF防火墙）
  安全宝 牛顿云 安全狗 知道创宇 阿里云

云环境

• 系统层面：
  SSH
  安骑士（免费） 云安全中心（收费版）
  快照--->使用快照需要购买存储空间
• 服务层面：redis mysql
  不要有公网ip
  如果有公网，不要监听在0.0.0.0
  要设定比较复杂的密码认证
  安全组（防火墙）
• WEB层面：
  HTTPS
  云WAF
• 数据层面：
  备份
  异地备份
• 上网-->VPC-->NAT网关

云架构

高防IP --->DDOS
WAF防火墙 --->漏洞注入
HTTPS ---->防劫持 防篡改

Firewalld防火墙

firewalld ---> 无需网络知识 ---> 自动挡汽车 不支持花活
iptables ---> 依赖网络知识 ----> 手动挡汽车 花活
firewalld比iptables简单--->
图形界面操作 GUI 太复杂
命令行操作 CLI 简单
80 22 3306
一个网卡仅能绑定一个区域。比如: eth0-->A区域
但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2
还可以根据来源的地址设定不同的规则。比如：所有人能访问80
端口，但只有公司的IP才允许访问22端口。

• firewalld查看处于哪个区域

[root@manager ~]# firewall-cmd --get-active-zones
public
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:

• Firewalld实例

1..使用firewalld各个区域规则结合配置，调整默认public区域拒绝所
有流量，但如果来源IP是10.0.0.0/24网段则允许。 复规则实现(只需要
一个区域)

[root@manager ~]# firewall-cmd --remove-service=
{ssh,dhcpv6-client}
[root@manager ~]# firewall-cmd --addsource="10.0.0.0/24" --zone=trusted
[root@manager ~]# firewall-cmd --get-active-zones
public
interfaces: eth0 eth1
trusted
sources: 10.0.0.0/24
#清空配置
[root@manager ~]# firewall-cmd --reload

2.firewalld放行端口

#添加放行端口
[root@manager ~]# firewall-cmd --add-port=80/tcp
[root@manager ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}
#移除放行端口
[root@manager ~]# firewall-cmd --remove-port=80/tcp
[root@manager ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports: 80/tcp 8081/tcp 8082/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

3..放行服务--->对应的还是端口-->比端口看起来更清晰

[root@manager ~]# firewall-cmd --add-service=http
[root@manager ~]# firewall-cmd --add-service=https
[root@manager ~]# firewall-cmd --add-service=
{zabbix-agent,zabbix-server}
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client http https zabbixagent zabbix-server
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
移除
[root@manager ~]# firewall-cmd --remove-service={zabbix-agent,zabbix-server}

4.自定义服务名称--->服务对应的端口 8080 8081 8082 -->api业务

[root@manager services]# cd
/usr/lib/firewalld/services
[root@manager services]# cp http.xml api.xml
[root@manager services]# cat api.xml


API (HTTP)




[root@manager services]# firewall-cmd --reload
success
[root@manager services]# firewall-cmd --addservice=api

5.firewalld实现端口转发
语法：firewall-cmd --permanent --zone=<区域> --addforward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@manager ~]# firewall-cmd --add-forward=port=5555:proto=tcp:toport=22:toaddr=172.1
6.1.31
# 地址伪装
[root@manager ~]# firewall-cmd --add-masquerade
#----------------------------------------------
--------->
#管理上抓包
[root@manager ~]# tcpdump port 5555 -nn
#后端主机的抓包
[root@nfs ~]# tcpdump -i eth1 port 22 -nn

Firewalld富规则

• 获取富规则手册

[root@Firewalld ~]# man firewalld.richlanguage 
rule
[source]
[destination]
service|port|protocol|icmpblock|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address" accept | reject [type="reject type"] | drop

• 富规则实例

1.允许10.0.0.1主机能够访问 http服务，允许172.16.1.0/24能访问8080端口

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="http" accept'
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="api" accept'

2.默认public区域对外开放所有人能通过ssh服务连接，但拒绝
172.16.1.0/24网段通过ssh连接服务器

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop'

3.使用firewalld，允许所有人能访问http,https服务，但只有10.0.0.1主机可以访问ssh服务

[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --remove-service=ssh
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="ssh" accept'

####使用端口方式 2222
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port="22" protocol=tcp accept'

4.当用户来源IP地址是10.0.0.1主机，则将用户请求的5555端口转发至后端172.16.1.31的22端口

[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forwardport port="5555" protocol="tcp" to-port="22" toaddr="172.16.1.31"'
[root@manager ~]# firewall-cmd --add-masquerade

firewalld实现共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换，以此达到内部主机上网
1.firewalld防火墙开启masquerade, 实现地址转换

[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
[root@Firewalld ~]# firewall-cmd --reload

2.客户端将网关指向firewalld服务器，将所有网络请求交给firewalld

[root@web03 ~]# cat /etc/sysconfig/networkscripts/ifcfg-eth1
GATEWAY=172.16.1.61

3.客户端还需配置dns服务器

[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5

4.重启网络，使其配置生效
5.测试后端web的网络是否正常