Linux——管理网络安全

1.管理服务器防火墙

（1）Linux内核中包含netfilter是网络流量操作（如数据包过滤、网络地址转换和端口转换）的框架。Filewalld是一个动态防火墙管理器，是nftables框架的前端，它会检查进入系统的每个数据包的源地址。若源地址分配到特定区域，则应用该区域的规则；若未分配到某区域，firewalld会将数据包与传入网络接口的区域相关联，并应用该区域的规则，若网络接口未与某个区域关联，则firewalld会将数据包与默认区域相关联。

（2）大多数区域会与特定端口和协议或预订服务的列表匹配的流量透过防火墙。 

（3）配置防火墙：可以通过三种主要方式与firewalld交互

       a. 编辑/etc/firewalld/中的配置文件

       b.web控制台图形界面

       c.firewall-cmd命令行工具

2.SELinux端口标记

  SELinux用来控制网络流量的其中一种方法是标记网络端口，默认的HTTP端口80/TCP和43/TCP具有标签http_port_t与其相关联。在非端口上运行服务，SELinux几乎肯定会拦截此流量。

3.管理端口标记

semanage port –l命令：列出端口标签

    -a选项：添加新端口标签

    -t选项：表示类型  

    -p选项：表示协议   

    -C选项：查看对默认策略的本地更改  

    -d选项：表示删除  

    -m选项：表示修改

semanage port –a –t port_label –p tcp|udp PORTNUMBER

semanage port –d –t gopher_port_t –p tcp 71(删除71/TCP与gopher_port_t的绑定)

semanage port –m –t http_port_t –p tcp 71(将71/TCP从gopher_port_t修改为http_port_t)