您的当前位置:首页正文

运维最全工作中常用到的Linux系统firewall防火墙策略_linux 防火墙策略,2024年最新Linux运维面试题中高级

2024-11-30 来源:个人技术集锦

最后的话

最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!

资料预览

给大家整理的视频资料:

给大家整理的电子书资料:

如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!



一,防火墙介绍

firewall简介:firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。

防火墙技术分为三类:包过滤,应用代理,状态检测

Linux的防火墙主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙。

在CentOS7系统中几种防火墙共存,firewalld,iptables,ebtables,默认使用firewalld来管理netfilter子系统,本博客重点讲firewalld

**netfilter:**指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于‘内核态’(内核空间)的防火墙功能体系

**firewalld:**指用于管理Linux防火墙的命令程序,属于“用户态”(用户空间)的防火墙管理体系

firewalld网络区域:

firewalld的预定义区域说明

区域说明
trusted(信任区域)可接收所有的网络连接
public(公共区域)除非与传出流量相关,或与ssh或dhcpv6-client预定义服务相关,否则拒绝流量。该区域是新添加网络接口的默认区域
work(工作区域)除非与传出流量相关,或与ssh或dhcpv6-client,ipp-client预定义服务相关,否则拒绝流量。
home(家庭区域)除非与传出流量相关,或与ssh或dhcpv6-client,ipp-client,mdns,samba-client预定义服务相关,否则拒绝流量。用于家庭网络
internal(内部区域)除非与传出流量相关,或与ssh或dhcpv6-client,ipp-client,mdns,samba-client预定义服务相关,否则拒绝流量。用于内部网络
external (外部区域)除非与传出流量相关,或与ssh预定义服务相关,否则拒绝流量。,通过此区域转发IPV4传出流量将进行地址伪装,可用于路由器启用了伪装功能的外部网络

firewalld防火墙的配置方法:

firewall-config图形化工具

firewall-cmd命令行工具

/etc/firewalld/中的配置文件

二,firewall-cmd命令

1.系统firewall服务

启动,暂停,查看firewall服务

systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld
#查看firewall状态 或
firewall-cmd --state
2.禁用firewalld
systemctl stop firewalld
systemctl disable firewalld
3.获取预定义信息
#显示预定义的区域
firewall-cmd --get-zones
#显示预定义的服务
firewall-cmd --get-service
#显示预定义的ICMP类型
firewall-cmd --get-icmptypes

最后的话

最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!

资料预览

给大家整理的视频资料:

给大家整理的电子书资料:

如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

再深入研究,那么很难做到真正的技术提升。**

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

显示全文