1.防火墙
防火墙主要起隔离作用,严格的过滤入站,允许出站。又分为硬件防火墙和软件防火墙,硬件防火墙主要保护一群机器,而软件防火墙主要保护本机。
防火墙相关命令:systemctl status firewalld.service #查看防火墙当前状态
systemctl start firewalld #启动防火墙
systemctl stop firewalld #关闭防火墙
systemctl enable firewalld #开机自动启动
systemct; disable firewalld #开机自动关闭
防火墙有四个区域,当受到访问时根据匹配原则匹配到相应的区域。
匹配原则: 1.查看数据包中的源IP,查询区域中的规则,哪一个区域中有这个IP,就进入哪一个区域。匹配即停止。
2.若没有找到相应的规则,则进入当前默认的区域。
四个保护规则集:public:默认允许sshd dhcp ping 服务
trusted:允许任何访问
block:明确的拒绝访问
drop:丢弃所有来访的数据包
查询防火墙的默认区域:firewall-cmd --get-default-zone
修改默认区域: firewall-cmd --set-default-zone=publid
查看规则里的协议: firewall-cmd --zone=public --list-all
若要往默认规则里添加协议:firewall-cmd --zone=public --add-service=ftp
永久设置:firewall-cmd --permanent --zone=public --add-service=ftp
刷新防火墙:firewall-cmd --reload
若是要单独拒绝某个源IP地址,就把IP地址写入block firewall-cmd --zone=block --add-source=源IP
删除即把add改为remove
实现本机的端口映射:如使得5444端口映射到80端口
firewall-cmd --permanent --zone=public --add-forward-port=port=5444:proto=tcp:topert=80:toaddr=192.168.142.139
验证:firefox 192.168.142.139 :5444 默认跳转到80端口,HTTP服务
端口的概念:协议或程序的编号
常见的端口:http : 80
httpd:443
ftp:21
TFTP: 69
telnet:23
DNS:53 #远程管理协议
snmp:161 #简单的网络管理协议
smtp :25 #邮件协议
pop3:110
二、SELinux安全机制:一套增强Linux系统安全的强制访问控制协议
运行模式: enforcing(强制) permissive(宽松) disabled(彻底关闭)
临时修改:sentenforce 1(开启) 0(关闭)
查看:gentenforce
永久配置文件:/etc/selinux/config