centos防火墙策略如何制定

在CentOS系统中，防火墙策略的制定主要通过使用firewalld这个动态管理工具来实现。以下是一些基本的步骤和策略制定方法：

1. 了解firewalld的基本概念

• 区域（Zone）：firewalld使用区域来定义不同的网络环境，如公共网络、内部网络和信任网络等。每个区域都有自己的防火墙规则集合。
• 运行时和永久配置：firewalld支持运行时和永久配置。运行时配置的更改在重新启动后会被重置，而永久配置则会持久保存并在系统重新启动后生效。
• 服务和端口：firewalld可以通过定义服务和端口来管理访问控制。服务是一组预定义的规则，用于允许或拒绝特定的网络服务。
• 动态更新：firewalld支持动态更新防火墙规则，这意味着您可以在运行时添加、删除或修改规则，而无需重新加载整个防火墙配置。

2. 配置防火墙的步骤

开启防火墙并设为开机自启

systemctl enable firewalld
systemctl start firewalld

配置默认的防火墙规则

允许任何TCP流量通过：

firewall-cmd --permanent --add-service=tcp

允许Web服务（http和https）通过：

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https

允许SSH连接：

firewall-cmd --permanent --add-service=ssh

开放防火墙端口：

firewall-cmd --permanent --add-port=80/tcp

保存并应用新的默认规则

firewall-cmd --reload

设置规则为启动时启动

将规则添加到/etc/rc.d/rc.local脚本中，以便在新系统启动时自动应用。

3. 制定具体的防火墙策略

允许指定IP访问所有流量

firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='192.168.1.100' accept"
firewall-cmd --reload

允许指定IP访问指定端口

firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='8.8.8.8' port protocol='tcp' port='80' accept"
firewall-cmd --reload

允许指定IP访问指定协议

firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='120.12.23.136' protocol value='icmp' accept"
firewall-cmd --reload

允许指定IP访问指定服务

firewall-cmd --permanent --add-rich-rule "rule family='ipv4' source address='10.168.186.25' service name='ssh' accept"
firewall-cmd --reload

防火墙移除某个服务

firewall-cmd --permanent --remove-service=ssh
firewall-cmd --reload

4. 查看和修改防火墙规则

• 查看当前防火墙策略

firewall-cmd --list-all

• 添加防火墙规则

firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --reload

• 删除防火墙规则

firewall-cmd --permanent --zone=public --remove-port=443/tcp
firewall-cmd --reload

• 重新载入防火墙规则

firewall-cmd --reload

以上步骤和命令可以帮助您在CentOS系统上制定和实施防火墙策略。根据实际需求，您可能需要调整这些配置以满足特定的安全要求。