Linux运维day48_二阶段_Firewalld

一. 安全 

1.硬件环境:

    硬件层面: 

    电源 (UPS) 温度监控 机柜上锁 磁盘报警 

    系统层面:

         更换默认SSH端口 

        禁止ROOT直接登录,

        统一使用密钥认证方式 

        使用防火墙限制-->某个来源IP才能连接SSH 

        软件更新 内核升级 --->已运行很久系统不要升级内核

    服务: mysql redis 等等

        不要有公网IP地址

        如果有公网IP,不要监听在0.0.0.0

        一定要设定比较复杂的密码认证

web: nginx tomcat 应用层

    HTTPS WAF -->web应用防火墙 (防火墙+WAF防火墙) --> http/https协议

        安全宝 牛盾云 安全狗 知道创宇 阿里云

2.云环境:

系统层面: 

    SSH 安骑士(免费版) 云安全中心(收费版) 

     快照 ---> 使用快照需要购买存储空间

服务层面: redis mysql

    不要有公网IP地址 

    如果有公网IP,不要监听在0.0.0.0 

    一定要设定比较复杂的密码认证

     安全组(防火墙)

web层面:

    HTTPS 

    云WAF

数据层面:

    备份 

    异地备份

上网 --->VPC --->NAT网关 (端口映射)

云架构

    高防IP --->DDOS 

    WAF防火墙 --->漏洞注入 

    HTTPS ---->防劫持 防篡改

HTTPS+WAF+负载均衡

https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.1118 6623.6.573.c85f5414Ajl83H

HTTPS+高仿IP+WAF+负载均衡

高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http

考虑安全 性能差

考虑性能 安全弱

二.Firewalld防火墙

firewalld ---> 无需网络知识 ---> 自动挡汽车 不支持花活

iptables ---> 依赖网络知识 ----> 手动挡汽车 花活

firewalld比iptables简单--->

    图形界面操作 GUI 太复杂

    命令行操作 CLI 简单

80 22 3306

一个网卡仅能绑定一个区域。比如: eth0-->A区域

但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2

还可以根据来源的地址设定不同的规则。比如：所有人能访问80

端口，但只有公司的IP才允许访问22端口。

2.firewalld查看处于哪个区域

.3.使用firewalld各个区域规则结合配置，调整默认public区域拒绝所 有流量，但如果来源IP是10.0.0.0/24网段则允许。 复规则实现(只需要 一个区域)

4.firewalld放行端口

5.放行服务--->对应的还是端口-->比端口看起来更清晰

6.自定义服务名称--->服务对应的端口 8080 8081 8082 -->api业务

五.firewalld实现端口转发

路由器 ---------->TPLINK

虚拟机Vmware

Nginx四层TCP/IP (类似 和lvs不一样)

Firewalld

六.Firewalld富规则

1.允许10.0.0.1主机能够访问 http服务，允许172.16.1.0/24能访问8080端 口

2.默认public区域对外开放所有人能通过ssh服务连接，但拒绝 172.16.1.0/24网段通过ssh连接服务器*

3.使用firewalld，允许所有人能访问http,https服务，但只有10.0.0.1主 机可以访问ssh服务

4.当用户来源IP地址是10.0.0.1主机，则将用户请求的5555端口转发至 后端172.16.1.31的22端口

七.firewalld实现共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换，以 此达到内部主机上网。

1.firewalld防火墙开启masquerade, 实现地址转换

    

2.客户端将网关指向firewalld服务器，将所有网络请求交给firewalld

3.客户端还需配置dns服务器

4.重启网络，使其配置生效

5.测试后端web的网络是否正常

firewalld共享上网方式不是特别推荐 (阿里云上如何实现---> 提交工单)

推荐:

物理环境: 使用路由器来实现上网

云环境: 推荐使用NAT网关设备

安全体系: OSI七层模型 --->

云架构 ( 高防IP + WAF防火墙 ) | 单机架构| 集群架构 |多机房 | SOA

WAF+负载均衡配置

1.配置负载均衡+多web节点 

2.配置WAF ---> 指向负载均衡的公网IP地址 --->完成后会生成一个 cname的域名.

3.配置DNS 解析---> 指向WAF cname 

4.配置HTTPS,请将证书传一份至WAF上, 至于负载均衡需不需要看 情况.