<var id="fnfpo"><source id="fnfpo"></source></var>
<rp id="fnfpo"></rp>

<em id="fnfpo"><object id="fnfpo"><input id="fnfpo"></input></object></em>
<em id="fnfpo"><acronym id="fnfpo"></acronym></em>
  • <th id="fnfpo"><track id="fnfpo"></track></th>
  • <progress id="fnfpo"><track id="fnfpo"></track></progress>
  • <tbody id="fnfpo"><pre id="fnfpo"></pre></tbody>

  • x
    x

    Linux 防火墻入門教程

    發布時間:2020-5-20 11:15    發布者:嵌入式人生17
    Linux 防火墻入門教程

    作者:Seth Kenlon
    譯者:Xiaobin.Liu
    合理的防火墻是你的計算機防止網絡入侵的第一道屏障。你在家里上網,通;ヂ摼W服務提供會在路由中搭建一層防火墻。當你離開家時,那么你計算機上的那層防火墻就是僅有的一層,所以配置和控制好你 Linux 電腦上的防火墻很重要。如果你維護一臺 Linux 服務器,那么知道怎么去管理你的防火墻同樣重要,只要掌握了這些知識你才能保護你的服務器免于本地或遠程非法流量的入侵。
    安裝防火墻
    很多 Linux 發行版本已經自帶了防火墻,通常是 iptables。它很強大并可以自定義,但配置起來有點復雜。幸運的是,有開發者寫出了一些前端程序來幫助用戶控制防火墻,而不需要寫冗長的 iptables 規則。
    Fedora、CentOS、Red Hat 和一些類似的發行版本上,默認安裝的防火墻軟件是 firewalld,通過 firewall-cmd 命令來配置和控制。在 Debian 和大部分其他發行版上,可以從你的軟件倉庫安裝 firewalld。Ubuntu 自帶的是簡單防火墻(Uncomplicated Firewall)ufw),所以要使用 firewalld,你必須啟用 universe 軟件倉庫:
    1. $ sudo add-apt-repository universe
    2. $ sudo apt install firewalld
    你還需要停用 ufw:
    1. $ sudo systemctl disable ufw
    沒有理由不用 ufw。它是一個強大的防火墻前端。然而,本文重點講 firewalld,因為大部分發行版都支持它而且它集成到了 systemd,systemd 是幾乎所有發行版都自帶的。
    不管你的發行版是哪個,都要先激活防火墻才能讓它生效,而且需要在啟動時加載:
    1. $ sudo systemctl enable --now firewalld
    理解防火墻的域
    Firewalld 旨在讓防火墻的配置工作盡可能簡單。它通過建立域(zone)來實現這個目標。一個域是一組的合理、通用的規則,這些規則適配大部分用戶的日常需求。默認情況下有九個域。
    ◈ trusted:接受所有的連接。這是最不偏執的防火墻設置,只能用在一個完全信任的環境中,如測試實驗室或網絡中相互都認識的家庭網絡中。◈ home、work、internal:在這三個域中,接受大部分進來的連接。它們各自排除了預期不活躍的端口進來的流量。這三個都適合用于家庭環境中,因為在家庭環境中不會出現端口不確定的網絡流量,在家庭網絡中你一般可以信任其他的用戶。◈ public:用于公共區域內。這是個偏執的設置,當你不信任網絡中的其他計算機時使用。只能接收選定的常見和最安全的進入連接。◈ dmzDMZ 表示隔離區。這個域多用于可公開訪問的、位于機構的外部網絡、對內網訪問受限的計算機。對于個人計算機,它沒什么用,但是對某類服務器來說它是個很重要的選項。◈ external:用于外部網絡,會開啟偽裝(你的私有網絡的地址被映射到一個外網 IP 地址,并隱藏起來)。跟 DMZ 類似,僅接受經過選擇的傳入連接,包括 SSH。◈ block:僅接收在本系統中初始化的網絡連接。接收到的任何網絡連接都會被 icmp-host-prohibited 信息拒絕。這個一個極度偏執的設置,對于某類服務器或處于不信任或不安全的環境中的個人計算機來說很重要。◈ drop:接收的所有網絡包都被丟棄,沒有任何回復。僅能有發送出去的網絡連接。比這個設置更極端的辦法,唯有關閉 WiFi 和拔掉網線。
    你可以查看你發行版本的所有域,或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設置。舉個例子:下面是 Fefora 31 自帶的 FedoraWorkstation 域:
    1. $ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml
    2.
    3.
    4.   Fedora Workstation
    5.   Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.
    6.   
    7.   
    8.   
    9.   
    10.   
    11.
    獲取當前的域
    任何時候你都可以通過 --get-active-zones 選項來查看你處于哪個域:
    1. $ sudo firewall-cmd --get-active-zones
    輸出結果中,會有當前活躍的域的名字和分配給它的網絡接口。筆記本電腦上,在默認域中通常意味著你有個 WiFi 卡:
    1. FedoraWorkstation
    2.   interfaces: wlp61s0
    修改你當前的域
    要更改你的域,請將網絡接口重新分配到不同的域。例如,把例子中的 wlp61s0 卡修改為 public 域:
    1. $ sudo firewall-cmd --change-interface=wlp61s0 --zone=public
    你可以在任何時候、任何理由改變一個接口的活動域 —— 無論你是要去咖啡館,覺得需要增加筆記本的安全策略,還是要去上班,需要打開一些端口進入內網,或者其他原因。在你憑記憶學會 firewall-cmd 命令之前,你只要記住了關鍵詞 change 和 zone,就可以慢慢掌握,因為按下 Tab 時,它的選項會自動補全。
    更多信息
    你可以用你的防火墻干更多的事,比如自定義已存在的域,設置默認域,等等。你對防火墻越了解,你在網上的活動就越安全

    本文地址:http://www.portaltwn.com/thread-589356-1-1.html     【打印本頁】

    本站部分文章為轉載或網友發布,目的在于傳遞和分享信息,并不代表本網贊同其觀點和對其真實性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問題,我們將根據著作權人的要求,第一時間更正或刪除。
    您需要登錄后才可以發表評論 登錄 | 立即注冊

    廠商推薦

    • Microchip視頻專區
    • 你仿真過嗎?使用免費的MPLAB Mindi模擬仿真器降低設計風險
    • 深度體驗Microchip自動輔助駕駛應用方案——2025巡展開啟報名!
    • 我們是Microchip
    • 利用模擬開發工具生態系統進行安全電路設計
    • 貿澤電子(Mouser)專區
    關于我們  -  服務條款  -  使用指南  -  站點地圖  -  友情鏈接  -  聯系我們
    電子工程網 © 版權所有   京ICP備16069177號 | 京公網安備11010502021702
    快速回復 返回頂部 返回列表
    精品一区二区三区自拍图片区_国产成人亚洲精品_亚洲Va欧美va国产综合888_久久亚洲国产精品五月天婷