.jpg)
防火墻幾乎是所有公共linux服務(wù)器必備軟件之一,它可以保護(hù)服務(wù)器免受網(wǎng)絡(luò)攻擊。很多Linux發(fā)行版本已經(jīng)自帶了防火墻,通常是iptables;而Fedora、CentOS、Red Hat發(fā)行版本上,默認(rèn)安裝的防火墻軟件是firewalld,可通過“firewall-cmd”命令來配置和控制。
Linux是有防火墻和殺毒軟件的。防火墻幾乎是公網(wǎng)上Linux服務(wù)器必備的軟件。另外各機(jī)房幾乎都有硬件防火墻,用來進(jìn)行入侵檢測,攻擊防護(hù)等。
合理的防火墻是你的計(jì)算機(jī)防止網(wǎng)絡(luò)入侵的第一道屏障。你在家里上網(wǎng),通常互聯(lián)網(wǎng)服務(wù)提供會在路由中搭建一層防火墻。當(dāng)你離開家時,那么你計(jì)算機(jī)上的那層防火墻就是僅有的一層,所以配置和控制好你 Linux 電腦上的防火墻很重要。如果你維護(hù)一臺 Linux 服務(wù)器,那么知道怎么去管理你的防火墻同樣重要,只要掌握了這些知識你才能保護(hù)你的服務(wù)器免于本地或遠(yuǎn)程非法流量的入侵。
Linux安裝防火墻
通常情況下,iptables 是許多 Linux 發(fā)行版本默認(rèn)自帶的防火墻。它很強(qiáng)大并可以自定義,但配置起來有點(diǎn)復(fù)雜。開發(fā)者撰寫了一些前端應(yīng)用程序來協(xié)助用戶管理防火墻,以代替繁瑣的 iptables 規(guī)則。
在 Fedora、CentOS、Red Hat 和一些類似的發(fā)行版本上,默認(rèn)安裝的防火墻軟件是 firewalld,通過 firewall-cmd 命令來配置和控制。Firewalld可以通過軟件倉庫在Debian以及大多數(shù)其他發(fā)行版上進(jìn)行安裝。Ubuntu 自帶的是簡單防火墻Uncomplicated Firewall(ufw),所以要使用 firewalld,你必須啟用 universe 軟件倉庫:
$?sudo?add-apt-repository?universe $?sudo?apt?install?firewalld
你還需要停用 ufw:
$?sudo?systemctl?disable?ufw
沒有理由不用 ufw。它是一個強(qiáng)大的防火墻前端。然而,本文重點(diǎn)講 firewalld,因?yàn)榇蟛糠职l(fā)行版都支持它而且它集成到了 systemd,systemd 是幾乎所有發(fā)行版都自帶的。
不管你的發(fā)行版是哪個,都要先激活防火墻才能讓它生效,而且需要在啟動時加載:
$?sudo?systemctl?enable?--now?firewalld
理解防火墻的域
Firewalld 旨在讓防火墻的配置工作盡可能簡單。它通過建立域zone來實(shí)現(xiàn)這個目標(biāo)。一個域是一組的合理、通用的規(guī)則,這些規(guī)則適配大部分用戶的日常需求。默認(rèn)情況下有九個域。
-
trusted:接受所有的連接。這是一種非常寬松的防火墻設(shè)置,只適用于絕對可信的環(huán)境,例如測試實(shí)驗(yàn)室或相互認(rèn)識的家庭網(wǎng)絡(luò)。
-
大部分連接都會在這三個領(lǐng)域中得到接收:家庭、工作和內(nèi)部。它們各自排除了預(yù)期不活躍的端口進(jìn)來的流量。這三個都適合用于家庭環(huán)境中,因?yàn)樵诩彝キh(huán)境中不會出現(xiàn)端口不確定的網(wǎng)絡(luò)流量,在家庭網(wǎng)絡(luò)中你一般可以信任其他的用戶。
-
public:用于公共區(qū)域內(nèi)。這是個偏執(zhí)的設(shè)置,當(dāng)你不信任網(wǎng)絡(luò)中的其他計(jì)算機(jī)時使用。只能接收選定的常見和最安全的進(jìn)入連接。
-
dmz:DMZ 表示隔離區(qū)。該域名經(jīng)常用于機(jī)構(gòu)外部可公開訪問、內(nèi)部網(wǎng)絡(luò)訪問受限的計(jì)算機(jī)。這句話可以重寫為:盡管對于個人計(jì)算機(jī)來說不太實(shí)用,但對于某些服務(wù)器而言,它是一個至關(guān)重要的選擇。
-
external:用于外部網(wǎng)絡(luò),會開啟偽裝(你的私有網(wǎng)絡(luò)的地址被映射到一個外網(wǎng) IP 地址,并隱藏起來)。跟 DMZ 類似,僅接受經(jīng)過選擇的傳入連接,包括 SSH。
-
block:僅接收在本系統(tǒng)中初始化的網(wǎng)絡(luò)連接。任何網(wǎng)絡(luò)連接都將被拒絕,系統(tǒng)會發(fā)送 icmp-host-prohibited 信息。這是一個非常重要的設(shè)置,尤其適用于位于不信任或不安全環(huán)境內(nèi)的個人計(jì)算機(jī)或某些類型的服務(wù)器,因其具有極高的偏執(zhí)性。
-
drop:接收的所有網(wǎng)絡(luò)包都被丟棄,沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。比這個設(shè)置更極端的辦法,唯有關(guān)閉 WiFi 和拔掉網(wǎng)線。
你可以查看你發(fā)行版本的所有域,或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設(shè)置。例如,F(xiàn)edora 31 自帶的 FedoraWorkstation 域如下所示:
$?cat?/usr/lib/firewalld/zones/FedoraWorkstation.xml <?xml version="1.0" encoding="utf-8"?><zone> ??<short>Fedora?Workstation</short> ??<description>Unsolicited?incoming?network?packets?are?rejected?from?port?1?to?1024,?except?for?select?network?services.?Incoming?packets?that?are?related?to?outgoing?network?connections?are?accepted.?Outgoing?network?connections?are?allowed.</description> ??<service></service> ??<service></service> ??<service></service> ??<port></port> ??<port></port></zone>
獲取當(dāng)前的域
任何時候你都可以通過 –get-active-zones 選項(xiàng)來查看你處于哪個域:
$?sudo?firewall-cmd?--get-active-zones
輸出結(jié)果中,會有當(dāng)前活躍的域的名字和分配給它的網(wǎng)絡(luò)接口。筆記本電腦上,在默認(rèn)域中通常意味著你有個 WiFi 卡:
FedoraWorkstation ??interfaces:?wlp61s0
修改你當(dāng)前的域
要更改你的域,請將網(wǎng)絡(luò)接口重新分配到不同的域。舉個例子,將 wlp61s0 網(wǎng)卡修改為公用域
$?sudo?firewall-cmd?--change-interface=wlp61s0?--zone=public
你可以在任何時候、任何理由改變一個接口的活動域 —— 無論你是要去咖啡館,覺得需要增加筆記本的安全策略,還是要去上班,需要打開一些端口進(jìn)入內(nèi)網(wǎng),或者其他原因。在你憑記憶學(xué)會 firewall-cmd 命令之前,你只要記住了關(guān)鍵詞 change 和 zone,就可以慢慢掌握,因?yàn)榘聪?Tab 時,它的選項(xiàng)會自動補(bǔ)全。
.png)
