《Linux系統(tǒng)管理與配置》課件-項(xiàng)目三-任務(wù)5-Linux防火墻_第1頁
《Linux系統(tǒng)管理與配置》課件-項(xiàng)目三-任務(wù)5-Linux防火墻_第2頁
《Linux系統(tǒng)管理與配置》課件-項(xiàng)目三-任務(wù)5-Linux防火墻_第3頁
《Linux系統(tǒng)管理與配置》課件-項(xiàng)目三-任務(wù)5-Linux防火墻_第4頁
《Linux系統(tǒng)管理與配置》課件-項(xiàng)目三-任務(wù)5-Linux防火墻_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

Linux系統(tǒng)配置與管理項(xiàng)目3進(jìn)程與服務(wù)Linux防火墻任務(wù)5010203CONTENT目錄防火墻的概述重點(diǎn)內(nèi)容firewalld基本知識重點(diǎn)內(nèi)容firewall管理工具的使用難點(diǎn)內(nèi)容防火墻概述眾所周知,相較于企業(yè)內(nèi)網(wǎng),公網(wǎng)環(huán)境更加惡劣。在公網(wǎng)與內(nèi)網(wǎng)之間充當(dāng)保護(hù)屏障的防火墻雖然有軟件和硬件之分,但主要功能都是對穿越防火墻流量進(jìn)行過濾,以保證合法的流量在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間流動。Linux系統(tǒng)防火墻Linux內(nèi)核包含一個(gè)強(qiáng)大的網(wǎng)絡(luò)過濾子系統(tǒng)netfilter,這是構(gòu)建防火墻的基礎(chǔ)。為了與netfilter交互來配置和管理防火墻,Linux提供了防火墻管理工具iptables,但其命令不容易掌握,從RHEL7/CentOS7開始,firewalld正式取代了老版本iptables,但該工具底層調(diào)用的仍然是iptables命令。firewalld基本知識Centos8中集成了多款防火墻管理工具,firewalld是默認(rèn)的配置管理工具。管理方法:基于CLI(命令行界面)和基于GUI(圖形用戶界面)。優(yōu)勢:支持動態(tài)更新技術(shù)并加入了區(qū)域(zone)的概念。區(qū)域就是firewalld預(yù)先準(zhǔn)備了幾套防火墻策略模板,用戶可以根據(jù)不同場景選擇合適的策略模板,實(shí)現(xiàn)防火墻策略之間的快速切換。firewalld中常用的區(qū)域名稱及策略規(guī)則區(qū)域默認(rèn)規(guī)則策略trusted允許所有的數(shù)據(jù)包home拒絕流入的流量,除非與流出的流量相關(guān);而如果流量與ssh、mdns、ipp-client、smba-client、dhcpv6-client服務(wù)相關(guān),則允許流量internal等同于home區(qū)域work拒絕流入的流量,除非與流出的流量相關(guān);而如果流量與ssh、ipp-client與dhcpv6-client服務(wù)相關(guān),則允許流量public拒絕流入的流量,除非與流出的流量相關(guān);而如果流量與ssh、dhcpv6-client服務(wù)相關(guān),則允許流量external拒絕流入的流量,除非與流出的流量相關(guān);而如果流量與ssh服務(wù)相關(guān),則允許流量dmz拒絕流入的流量,除非與流出的流量相關(guān);而如果流量與ssh服務(wù)相關(guān),則允許流量block拒絕流入的流量,除非與流出的流量相關(guān)drop拒絕流入的流量,除非與流出的流量相關(guān)命令行界面終端管理工具——firewall-cmd參數(shù)作用--get-default-zone查詢默認(rèn)的區(qū)域名稱--set-default-zone=<區(qū)域名稱>設(shè)置默認(rèn)的區(qū)域,使其永久生效--get-zones顯示可用的區(qū)域--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱--add-source=將源自此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將源自此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域--add-interface=<網(wǎng)卡名稱>將源自該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域--change-interface=<網(wǎng)卡名稱>將某個(gè)網(wǎng)卡與區(qū)域進(jìn)行關(guān)聯(lián)--list-all顯示當(dāng)前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--list-all-zones顯示所有區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--add-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域允許該服務(wù)的流量--add-port=<端口號/協(xié)議>設(shè)置默認(rèn)區(qū)域允許該端口的流量--remove-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量--remove-port=<端口號/協(xié)議>設(shè)置默認(rèn)區(qū)域不再允許該端口的流量--reload讓“永久生效”的配置規(guī)則立即生效,并覆蓋當(dāng)前的配置規(guī)則--panic-on開啟應(yīng)急狀況模式--panic-off關(guān)閉應(yīng)急狀況模式圖形化界面終端管理工具——firewall-config注意,配置防火墻的策略有兩種模式:firewall-config是firewalld防火墻配置管理工具的圖形用戶界面版本,幾乎可以實(shí)現(xiàn)所有以命令行來執(zhí)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論