centos防火墙最佳实践指南

CentOS 防火墙的最佳实践包括以下步骤：

1. 查看防火墙状态：

   • 使用命令 firewall-cmd --state 或 systemctl status firewalld 来检查防火墙是否正在运行。

2. 开关防火墙：

   • 启动防火墙：systemctl start firewalld.service
   • 重启防火墙：systemctl restart firewalld.service
   • 关闭防火墙：systemctl stop firewalld.service
   • 设置开机启用防火墙：systemctl enable firewalld.service
   • 设置开机禁用防火墙：systemctl disable firewalld.service

3. 开放或限制服务器端口：

   • 查看开放的端口：firewall-cmd --list-ports
   • 查询防火墙所有规则：firewall-cmd --list-all
   • 开放端口（例如80端口）：firewall-cmd --zone=public --add-port=80/tcp --permanent
   • 关闭端口（例如80端口）：firewall-cmd --zone=public --remove-port=80/tcp --permanent
   • 配置立即生效并重新加载：firewall-cmd --reload

4. 配置访问白名单：

   • 命令行操作：
     • 只允许指定IP段访问服务器22端口：

       firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="指定IP或IP段" port protocol="tcp" port="22" accept'
       

     • 允许指定IP段访问服务器所有端口：

       firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="指定IP或IP段" accept'
       

   • 修改配置文件：
     • 编辑配置文件 /etc/firewalld/zones/public.xml，添加规则后重启防火墙。

5. 服务访问配置：

   • 查询服务：firewall-cmd --list-services
   • 查看ftp服务是否支持：firewall-cmd --query-service ftp
   • 永久移除ftp服务：firewall-cmd --permanent --remove-service=ftp
   • 永久开放ftp服务：firewall-cmd --permanent --add-service=ftp
   • 临时开放ftp服务：firewall-cmd --add-service=ftp

6. 扩展功能：

   • 列出支持的zone：firewall-cmd --get-zones
   • 查看帮助：man firewall-cmd

这些步骤涵盖了CentOS防火墙的基本操作和配置方法，确保系统安全性和便利性。