如何配置防火墙信任区域?

RHEL-Like

1 前言

有时候,我们需要允许某些源主机到服务器的所有通讯,于是我们就想到使用信任区域来解决此问题。

2 基础知识

2.1 区域的概念

– 网络区域用于定义网络连接的信任级别
– 一个区域可以定义多个网络,但一个网络只能属于一个区域(一对多的关系)

2.2 区域的防火墙功能

– 预定义的服务(服务是端口与协议条目的组合,可选netfilter帮助模块以及IPv4和IPv6的目标地址)
– 端口和协议(可定义tcp或udp的单个端口或端口范围)
– ICMP块(阻止特定的Internet控制消息协议,即ICMP协议,此消息可以是请求或回复或错误条件)
– 伪装(专用网络地址映射到公网IP地址并隐藏在公共IP后面,即地址转换)
– 端口转发(源向端口映射到另一个主机的同一个端口或不同端口)
– 丰富的语言规则
— 由服务、端口、icmp-block、伪装、源端口、目标端口、源地址、目标地址组成的防火墙规则
— 也可以加上日志、操作、限制、主机或网络的黑白名单组成的防火墙规则

2.3 防火墙的区域

– drop,任何传入的数据包都被丢弃,没有回复,只能进行传出网络连接
– block,任何传入的网络连接都被拒绝,由IPv4或IPv6的icmp-host-prohibited显示消息,此系统只能启用网络连接
– external,该区域定位于公共场所,该区域不信任其他计算机,仅接受选定的传入连接
– dmz,该区域接受计算机的公开访问,但对内部网络的访问权限有限,仅接受选定的传入连接
– work,该区域定位于工作,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– home,该区域定位于家庭,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– internal,该区域定位于内部,该区域信任网络上的其他计算机,安全起见,仅接受选定的传入连接
– trsted,该区域接受所有网络连接

3 最佳实践

3.1 将原地址添加到信任区域

firewall-cmd --permanent --zone=trusted --add-source=10.168.0.235/32

3.2 重载防火墙是配置生效

firewall-cmd --reload

3.3 查看信任区域的配置

firewall-cmd --reload

可见如下显示,

trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces:
  sources: 10.168.0.235/32
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

另外,如果你需要查看所有区域的配置,请使用如下命令,

firewall-cmd --list-all-zones

参阅文档
====================
https://firewalld.org/documentation/man-pages/firewalld.zones.html

https://firewalld.org/documentation/man-pages/firewall-cmd

没有评论

发表回复

RHEL-Like
如何配置rsyncd服务?

1 前言 一个问题,一篇文章,一出故事。 由于笔者想实现文件通过rsync自动传输,但是又不想使用o …

RHEL-Like
如何用pam_google_authenticator认证模块实现SSH 2FA?

1 前言 一个问题,一篇文章,一出故事。 笔者想开启2FA以便增强SSH服务的安全性,于是便整理此文 …

RHEL-Like
如何升级RHEL clamav杀毒?

1 前言 一个问题,一篇文章,一出故事。 笔者需要卸载旧的病毒软件,然后更新rpm包的病毒软件,于是 …