centos防火墙安全如何加固

以下是CentOS防火墙安全加固的关键措施：

1. 安装并启用防火墙
   安装firewalld并设置为开机自启：

   sudo yum install firewalld  
   sudo systemctl start firewalld  
   sudo systemctl enable firewalld  
   

2. 配置默认区域与规则

   • 设置默认区域为work或dmz等更严格的策略：

     sudo firewall-cmd --set-default-zone=work  
     

   • 开放必要端口（如SSH 22、HTTP 80/HTTPS 443），并限制访问IP：

     sudo firewall-cmd --permanent --add-port=22/tcp  
     sudo firewall-cmd --permanent --add-rich-rule='rule source address="192.168.1.0/24" service name="ssh" accept'  
     

3. 关闭不必要的服务与端口
   禁用非必要服务（如telnet、ftp）及对应端口，减少攻击面：

   sudo systemctl stop 服务名  
   sudo systemctl disable 服务名  
   sudo firewall-cmd --permanent --remove-service=服务名  
   

4. 强化SSH安全

   • 禁止root登录、启用密钥认证：修改/etc/ssh/sshd_config，设置PermitRootLogin no、PasswordAuthentication no。
   • 修改默认SSH端口（如改为2222）并限制登录尝试次数。

5. 启用SELinux
   启用安全增强模块，限制进程权限：

   sudo setenforce 1  
   sudo sed -i 's/^SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config  
   

6. 日志与监控

   • 启用防火墙日志记录，分析异常访问：

     sudo firewall-cmd --set-log-denied=all  
     

   • 定期查看/var/log/secure等日志，识别潜在攻击。

7. 定期更新与规则优化

   • 定期更新系统补丁：sudo yum update。
   • 清理冗余规则，将常用规则置顶，提升处理效率。

注：部分操作需根据实际业务调整，测试环境验证后再应用到生产环境。