一、防火牆簡介
1、防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體裝置,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護使用者資料與資訊安全性的一種技術。
2、防火牆技術的功能主要在於及時發現並處理計算機網路執行時可能存在的安全風險、資料傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路執行的安全性,保障使用者資料與資訊的完整性,為使用者提供更好、更安全的計算機網路使用體驗。
二、centos7防火牆配置
firewalld的基本使用
啟動: systemctl start firewalld
關閉: systemctl stop firewalld
檢視狀態: systemctl status firewalld
開機禁用 : systemctl disable firewalld
開機啟用 : systemctl enable firewalld
配置firewalld-cmd檢視版本: firewall-cmd --version
檢視幫助: firewall-cmd --help
顯示狀態: firewall-cmd --state
檢視所有開啟的埠: firewall-cmd --zone=
public
--list-ports
更新防火牆規則: firewall-cmd --reload
檢視區域資訊: firewall-cmd --
get-active-zones
檢視指定介面所屬區域: firewall-cmd --
get-zone-of-
inte***ce
=eth0
拒絕所有包:firewall-cmd --panic-on
取消拒絕狀態: firewall-cmd --panic-off
檢視是否拒絕: firewall-cmd --query-panic
1、檢視firewall服務狀態
systemctl status firewalld
2、檢視firewall的狀態
firewall-cmd --state
3、開啟、重啟、關閉、firewalld.service服務
# 開啟
service firewalld start
# 重啟
service firewalld restart
# 關閉
service firewalld stop
4、檢視防火牆規則
firewall-cmd --list-all
5、查詢、開放、關閉埠
# 查詢埠是否開放
firewall-cmd --query-port=8080/tcp
# 開放80埠
firewall-cmd --permanent --add-port=80/tcp
# 移除埠
firewall-cmd --permanent --remove-port=8080/tcp
#重啟防火牆(修改配置後要重啟防火牆)
firewall-cmd --reload
# 引數解釋
1、firwall-cmd:是linux提供的操作firewall的乙個工具;
2、--permanent:表示設定為持久;
3、--add-port:標識新增的埠;
優化
1.養成能不用root則不用root的良好習慣。每次安裝軟體、部署應用之前,先做好管理賬戶、目錄的規劃。最好是裝完系統就新增乙個標準使用者,visudo給這個賬戶配置sudo許可權,只有這個賬戶具有root許可權。在這一點上必須得贊一下ubuntu,安裝完成之後你是不能直接root使用者登入的。
2.啟用密碼策略。
3.禁止通過telnet等不安全的登入方式。目前的系統預設一般不自帶telnet,如果裝了telnet那就解除安裝了。
4.使用ssh2協議,禁止root使用者通過ssh登入。設定某些賬號可以su到root,大部分標準使用者禁止切換到root。
5.設定不活動使用者登入超時自動退出登入並斷開ssh連線。例如:tmout=300
6.設定historyfilesize和histsize。
8.關閉selinux。將/etc/selinux/config中的selinux=enforcing改為:selinux=disabled,儲存之後重啟系統即可生效。
9.如果使用了硬體防火牆及其他相關的網路安全措施,可以將系統自帶的防火牆解除安裝。centos6自帶的防火牆是iptables,centos7自帶的防火牆是firewalld,並且從centos7.4起,防火牆開機自動啟動,這需要特別注意。如果是直接暴露在外網的伺服器,那麼強烈建議開啟防火牆。需要注意的是,iptables和firewalld不能同時存在,只能選擇其一,建議使用動態防火牆firewalld。
9.如果確定使用ntp連網來獲取時間,centos7.x自帶了chrony,並且為開機啟動,可用通過修改/etc/chrony.conf配置檔案來設定同步時間源。一般公司都具有內部ntp伺服器,統一指向這些ntp伺服器即可。當然,也可以使用連網ntp伺服器,例如阿里雲的,或者其他穩定、可靠的ntp時間伺服器。也可以通過互動式命令chronyc來設定ntp服務。需要注意的是:如果填寫了ntp伺服器的網域名稱,則需要配置能夠正常解析的dns伺服器,ntp處於的層級(stratum )也非常重要。其他時間、日期、ntp設定可以使用timedatectl。如果有其他時間同步管理方案,請解除安裝chronyd。
10.鎖定關鍵系統檔案,防止被提權篡改。使用chattr命令來進行操作,需要鎖定的檔案如:/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow等。
10.清除多餘的系統虛擬賬號。如:games、lp、ftp等。
11.給grub選單加密,centos7用的是grub2。
12.一些伺服器可以設定禁ping。但這也不是最佳方案,因為有時候我們也需要通過ping來檢查網路情況。
13.配置內部yum源或者國內yum源。
14.優化linux核心引數。此部分內容較多,操作也需要十分謹慎,後期會專門針對這一部分進行深入探索。
系統安全設定及優化設定
1 建立標準賬號,授予sudo許可權,指定特定賬戶可以su到root賬戶。禁止root使用者通過ssh遠端登入,使用安全性較高的ssh2協議進行登入,解除安裝telnet(如果已安裝)。
2 啟用密碼策略。
3 在應用部署之前需要按要求建好管理賬戶,做好應用目錄的規劃與許可權設計,使用指定使用者啟動指定應用。
4 設定不活動使用者登入超時自動退出登入並斷開ssh連線。例如:tmout=300
5 設定historyfilesize和histsize。
6 調整檔案描述符。
7 關閉selinux。
8 使用或禁用防火牆。
9 設定ntp時間同步。
10 鎖定關鍵系統檔案,防止被提權篡改。
11 清除多餘的系統虛擬賬號。如:games、lp、ftp等。
12 給grub選單加密(可選)。
13 一些伺服器可以設定禁ping(可選)。
14 配置內部yum源或者國內yum源。
15 優化linux核心引數(謹慎操作)。
16 禁止顯示核心版本及系統版本資訊(可選)。
CentOS防火牆和系統安全防護優化
檢視firewall的狀態 firewall cmd state開啟 重啟 關閉 firewalld.service服務 service firewalld start 開啟 service firewalld restart 重啟 service firewalld stop 關閉檢視防火牆規則 ...
防火牆 系統安全防護和優化
防火牆 firewall 也稱防護牆,是由check point創立者gil shwed於1993年發明並引入國際網際網路 us5606668 a 1993 12 15 它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。防火牆具有很...
防火牆和系統安全防護和優化
啟動 root izbp1f0xuq9rc815r5u5b0z systemctl start firewalld 關閉 root izbp1f0xuq9rc815r5u5b0z systemctl stop firewalld 檢視狀態 root izbp1f0xuq9rc815r5u5b0z s...