1.目錄
- 1.題目--->
- 2.安全
- 3.firewalld防火墻 (軟件型)
- 4.firewalld防火墻-->區(qū)域
- 5.firewalld放行端口相關(guān)
- 5.firewalld放行服務(wù)相關(guān)
- 6.firewalld富規(guī)則-->
- 7.firewalld實(shí)現(xiàn)共享上網(wǎng)
2.Firewalld基本介紹
2.1 安全
-
硬件環(huán)境:
- 硬件層面: 電源 (UPS) 溫度監(jiān)控 機(jī)柜上鎖 磁盤報(bào)警
- 系統(tǒng)層面:
- 更換默認(rèn)SSH端口
- 禁止ROOT直接登錄,統(tǒng)一使用密鑰認(rèn)證方式
- 使用防火墻限制-->某個(gè)來源IP才能連接SSH
- 軟件更新 內(nèi)核升級(jí) --->已運(yùn)行很久系統(tǒng)不要升級(jí)內(nèi)核
- 服務(wù): mysql redis 等等
- 不要有公網(wǎng)IP地址
- 如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
- 一定要設(shè)定比較復(fù)雜的密碼認(rèn)證
- web: nginx tomcat 應(yīng)用層
- HTTPS
- WAF -->web應(yīng)用防火墻 (防火墻+WAF防火墻) --> http/https協(xié)議
- 安全寶 牛盾云 安全狗 知道創(chuàng)宇 阿里云
-
云環(huán)境:
- 系統(tǒng)層面:
- SSH
- 安騎士(免費(fèi)版) 云安全中心(收費(fèi)版)
- 快照 ---> 使用快照需要購(gòu)買存儲(chǔ)空間
- 服務(wù)層面: redis mysql
- 不要有公網(wǎng)IP地址
- 如果有公網(wǎng)IP,不要監(jiān)聽在0.0.0.0
- 一定要設(shè)定比較復(fù)雜的密碼認(rèn)證
- 安全組(防火墻)
- web層面:
- HTTPS
- 云WAF
- 數(shù)據(jù)層面:
- 備份
- 異地備份
- 上網(wǎng) --->VPC --->NAT網(wǎng)關(guān) (端口映射)
- 系統(tǒng)層面:
找?guī)准易霭踩? nginx+lua
- 云架構(gòu)
- 高防IP --->DDOS
- WAF防火墻 --->漏洞注入
- HTTPS ---->防劫持 防篡改
HTTPS+WAF+負(fù)載均衡
https://help.aliyun.com/document_detail/61993.html?spm=a2c4g.11186623.6.573.c85f5414Ajl83H
HTTPS+高防IP+WAF+負(fù)載均衡
https://help.aliyun.com/document_detail/35163.html?spm=a2c4g.11186623.6.792.2fc36251vRqVB1
高防需要配置HTTPS --> WAF也需要配置HTTPS --> 源站 http
**考慮安全 性能差 **
考慮性能 安全弱
2.2 Firewalld防火墻
firewalld ---> 無需網(wǎng)絡(luò)知識(shí) ---> 自動(dòng)擋汽車 不支持花活
-
iptables ---> 依賴網(wǎng)絡(luò)知識(shí) ----> 手動(dòng)擋汽車 花活
firewalld比iptables簡(jiǎn)單--->
- 圖形界面操作 GUI 太復(fù)雜
- 命令行操作 CLI 簡(jiǎn)單
80 22 3306
一個(gè)網(wǎng)卡僅能綁定一個(gè)區(qū)域摄杂。比如: eth0-->A區(qū)域
但一個(gè)區(qū)域可以綁定多個(gè)網(wǎng)卡里伯。比如: B區(qū)域-->eth0困后、eth1丢郊、eth2
還可以根據(jù)來源的地址設(shè)定不同的規(guī)則。比如:所有人能訪問80端口丰捷,但只有公司的IP才允許訪問22端口妻柒。
2.3Firewalld防火墻常用的區(qū)域
| 區(qū)域 | 作用 |
|---|---|
| 公共區(qū)域(Public Zone) | 默認(rèn)就是在public |
| 丟棄區(qū)域(Drop Zone) | 黑名單封恰,阻塞區(qū)域會(huì)拒絕進(jìn)入的網(wǎng)絡(luò)連接矮烹,返回icmp-host-prohibited |
| 信任區(qū)域(Trusted Zone) | 白名單,信任區(qū)域允許所有網(wǎng)絡(luò)通信通過 |
3.開啟防火墻區(qū)域內(nèi)服務(wù)
1.firewalld查看處于哪個(gè)區(qū)域
#查看當(dāng)前防火墻的區(qū)域
[root@manager ~]# firewall-cmd --get-active-zones
public
# 查看防火墻罩锐,添加的端口也可以看到
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
#重啟防火墻奉狈,所有區(qū)域都恢復(fù)出廠設(shè)置,除永久
[root@manager ~]# firewall-cmd --reload
#后面跟--permanent實(shí)現(xiàn)永久配置涩惑,除非--remove指定刪除
[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
2.source網(wǎng)段
使用firewalld各個(gè)區(qū)域規(guī)則結(jié)合配置仁期,調(diào)整默認(rèn)public區(qū)域拒絕所有流量,但如果來源IP是10.0.0.0/24網(wǎng)段則允許竭恬。 復(fù)規(guī)則實(shí)現(xiàn)(只需要一個(gè)區(qū)域)
[root@manager ~]# firewall-cmd --remove-service={ssh,dhcpv6-client}
[root@manager ~]# firewall-cmd --add-source="10.0.0.0/24" --zone=trusted
[root@manager ~]# firewall-cmd --get-active-zones
public
interfaces: eth0 eth1
trusted
sources: 10.0.0.0/24
#清空配置
[root@manager ~]# firewall-cmd --reload
3.port端口
firewalld放行端口
#添加放行端口
[root@manager ~]# firewall-cmd --add-port=80/tcp
[root@manager ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}
#移除放行端口
[root@manager ~]# firewall-cmd --remove-port=80/tcp
[root@manager ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports: 80/tcp 8081/tcp 8082/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
4.service服務(wù)
放行服務(wù)--->對(duì)應(yīng)的還是端口-->比端口看起來更清晰
[root@manager ~]# firewall-cmd --add-service=http
[root@manager ~]# firewall-cmd --add-service=https
[root@manager ~]# firewall-cmd --add-service={zabbix-agent,zabbix-server}
[root@manager ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client http https zabbix-agent zabbix-server
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
移除
[root@manager ~]# firewall-cmd --remove-service={zabbix-agent,zabbix-server}
5.自定義端口
自定義服務(wù)名稱--->服務(wù)對(duì)應(yīng)的端口 8080 8081 8082 -->api業(yè)務(wù)
[root@manager services]# cd /usr/lib/firewalld/services #該目錄下都是防火墻所支持的服務(wù)
[root@manager services]# cp http.xml api.xml #創(chuàng)建一個(gè)api的服務(wù)跛蛋,然后為它指定端口
[root@manager services]# cat api.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>API (HTTP)</short>
<port protocol="tcp" port="8081"/>
<port protocol="tcp" port="8082"/>
<port protocol="tcp" port="8083"/>
</service>
[root@manager services]# firewall-cmd --reload
success
[root@manager services]# firewall-cmd --add-service=api
success
4.firewalld實(shí)現(xiàn)端口轉(zhuǎn)發(fā)
路由器 ---------->TPLINK
虛擬機(jī)Vmware
Nginx四層TCP/IP (類似 和lvs不一樣)
Firewalld
#固定語(yǔ)法
firewall-cmd --permanent --zone=<區(qū)域> --add-forward-port=port=<源端口號(hào)>:proto=<協(xié)議>:toport=<目標(biāo)端口號(hào)>:toaddr=<目標(biāo)IP地址>
[root@manager ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.31
# 地址偽裝
[root@manager ~]# firewall-cmd --add-masquerade
#------------------------------------------------------->
#管理上抓包
[root@manager ~]# tcpdump port 5555 -nn
#后端主機(jī)的抓包
[root@nfs ~]# tcpdump -i eth1 port 22 -nn
5.Firewalld富規(guī)則
[root@Firewalld ~]# man firewalld.richlanguage # 獲取富規(guī)則手冊(cè)
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop #accept允許 reject拒絕 會(huì)報(bào)錯(cuò) drop拒絕 不報(bào)
1.允許10.0.0.1主機(jī)能夠訪問 http服務(wù),允許172.16.1.0/24能訪問8080端口
10.0.0.1 ---> 80 http 除此以外都不可以訪問
172.16.1.x ---> 8080 api 除此以外都不可以訪問
[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="http" accept'
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="api" accept'
2.默認(rèn)public區(qū)域?qū)ν忾_放所有人能通過ssh服務(wù)連接痊硕,但拒絕172.16.1.0/24網(wǎng)段通過ssh連接服務(wù)器
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop'
3.使用firewalld赊级,允許所有人能訪問http,https服務(wù),但只有10.0.0.1主機(jī)可以訪問ssh服務(wù)
[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --remove-service=ssh
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name="ssh" accept'
####使用端口方式 2222
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="2222" protocol=tcp accept'
4.當(dāng)用戶來源IP地址是10.0.0.1主機(jī)岔绸,則將用戶請(qǐng)求的5555端口轉(zhuǎn)發(fā)至后端172.16.1.31的22端口
任何人訪問10.0.0.61 5555端口都給轉(zhuǎn)發(fā)
10.0.0.1 ---> 10.0.0.61 5555 ---> 172.16.1.31 22
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.31"'
[root@manager ~]# firewall-cmd --add-masquerade
6.firewalld實(shí)現(xiàn)共享上網(wǎng)
在指定的帶有公網(wǎng)IP的實(shí)例上啟動(dòng)Firewalld防火墻的NAT地址轉(zhuǎn)換理逊,以此達(dá)到內(nèi)部主機(jī)上網(wǎng)。
詳細(xì)流程
1.firewalld防火墻開啟masquerade, 實(shí)現(xiàn)地址轉(zhuǎn)換
[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
[root@Firewalld ~]# firewall-cmd --reload
2.客戶端將網(wǎng)關(guān)指向firewalld服務(wù)器盒揉,將所有網(wǎng)絡(luò)請(qǐng)求交給firewalld
[root@web03 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61
3.客戶端還需配置dns服務(wù)器
[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5
4.重啟網(wǎng)絡(luò)晋被,使其配置生效
[root@web03 ~]# ifdown eth1 && ifup eth1
5.測(cè)試后端web的網(wǎng)絡(luò)是否正常
[root@web03 ~]# ping baidu.com
PING baidu.com (123.125.115.110) 56(84) bytes of data.
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=127 time=9.08 ms
firewalld共享上網(wǎng)方式不是特別推薦 (阿里云上如何實(shí)現(xiàn)---> 提交工單)
推薦:
? 物理環(huán)境: 使用路由器來實(shí)現(xiàn)上網(wǎng)
? 云環(huán)境: 推薦使用NAT網(wǎng)關(guān)設(shè)備
安全體系: OSI七層模型 --->
云架構(gòu) ( 高防IP + WAF防火墻 ) | 單機(jī)架構(gòu)| 集群架構(gòu) |多機(jī)房 | SOA
WAF+負(fù)載均衡配置
- 1.配置負(fù)載均衡+多web節(jié)點(diǎn)
- 2.配置WAF ---> 指向負(fù)載均衡的公網(wǎng)IP地址 --->完成后會(huì)生成一個(gè)cname的域名.
- 3.配置DNS 解析---> 指向WAF cname
- 4.配置HTTPS,請(qǐng)將證書傳一份至WAF上, 至于負(fù)載均衡需不需要看情況.
高防IP + WAF防火墻 + 負(fù)載均衡
Firewalld 默認(rèn)是拒絕所有端口
? 區(qū)域概念
? 放行端口
? 放行服務(wù)
? 端口轉(zhuǎn)發(fā)
? 共享上網(wǎng)
? 富規(guī)則
