Защитна стена CentOS 7: Конфигуриране, активиране, деактивиране и създаване на правила

Една от мерките, включени в операционните системи, за повишаване нивата на сигурност и установяване на контрол върху входящите и изходящите връзки на системата. Защитната стена е основна част от сигурността на нашето оборудване, независимо от системата, тъй като тя е пазителят, който предотвратява повреждането на нашето оборудване с неподходящо съдържание. За щастие в системи като Linux, защитната стена вече е интегрирана по подразбиране и ни предлага множество възможности за справяне с тези ситуации. По -конкретно в CentOS интегрираната защитна стена се нарича firewalld и изпълнява различни задачи за сигурност в нашия дистрибутор на Linux.

Много е важно да знаем всичко, което една защитна стена ни предлага на ниво защита и е важно да знаем, че в CentOS 7 решението, включено на ниво защитна стена, се нарича Firewalld, което ни предлага следните предимства.

Предимства на FirewalldПредимствата на защитната стена CentOS 7 са:

• Това е динамична защитна стена.

• Стабилен.

• Множество опции за конфигуриране.

• Поддържа Ipv4, Ipv6 и Ethernet свързващи конфигурации.

• Можем да дефинираме различни форми на конфигурация на Firewalld (непрекъсната и работеща)

• Ще анализираме подробно как работи Firewalld в CentOS 7 и по този начин ще разберем целия му обхват.

1. Основни условия в Firewalld CentOS 7

Преди да разберете как да използвате Firewalld в CentOS 7, има няколко термина, на които е важно да обърнете внимание, тъй като те ще бъдат непрекъснато в CentOS 7.

Какво е зонаМрежова зона е тази, чиято функция е да определи нивото на доверие, което ще има мрежовата връзка.

Тези зони се управляват от Firewalld в различни групи правила и една зона може да се използва от много мрежови връзки.

Във Firewalld има няколко типа зони, които са:

ИзпускайтеТова е най -ниското ниво на доверие, тъй като всички входящи пакети се отхвърлят автоматично и се разрешават само изходящите.

БлокиранеТова ниво на доверие е подобно на Drop с тази разлика, че входящите пакети се отхвърлят със съобщения icmp-host-забранен за IPv4 и icmp6-adm-забранен за IPv6.

ОбщественТова ниво на доверие се отнася до ненадеждни обществени мрежи и приема само доверени връзки.

ВъншенТози тип ниво се използва, когато използваме защитната стена като шлюз и неговото маскиране се активира от рутерите.

DMZТова ниво се използва в оборудване, разположено в DMZ (демилитаризирана) зона, тоест има публичен достъп с ограничение до вътрешната мрежа. Той приема само приети връзки.

РаботаТова ниво се използва в работните зони, така че повечето компютри в мрежата ще имат достъп до него.

У домаТози тип ниво се използва в домашна среда и повечето оборудване е прието.

ВътрешниТози тип ниво се използва във вътрешни мрежи, така че цялото мрежово оборудване ще бъде прието.

ДоверенТова е най -високото ниво и се доверява на всички входящи връзки.

Всяка от тези зони може да бъде конфигурирана в правилата, които създаваме с помощта на Firewalld в CentOS 7.

2. Как да създадете постоянно правило CentOS 7

Когато конфигурираме Firewalld в CentOS 7, можем да създадем два типа правила, постоянни или незабавни, по този начин, когато редактираме правило, промяната ще се вижда автоматично, но при следващото влизане това правило ще бъде отменено.

За да избегнем това, трябва да използваме параметъра -permanent, така че правилото да е непрекъснато и да не се елиминира при всяко влизане.

 -постоянен

3. Как да стартирате услугата на защитната стена в CentOS 7

Етап 1
Важно е, преди да създадем необходимите правила с Firewalld, да активираме услугата Firewalld, за това въвеждаме следното.

 sudo systemctl стартира Firewalld.service 

Стъпка 2
В случай, че се покаже съобщение за грешка, показващо, че Firewalld не е инсталиран, можем да изпълним следната команда за неговото инсталиране:

 Sudo yum инсталирайте Firewalld -y 

Стъпка 3
За да видите състоянието на услугата на защитната стена, ще използваме следната команда. Можем да видим, че състоянието му работи. По този начин активирахме услугата и можем да създаваме и редактираме правилата за защитната стена в CentOS 7.

 Защитна стена -cmd -state

4. Как да видите текущата зона на CentOS 7

Етап 1
Можем да визуализираме текущата зона, в която се намира нашето оборудване, като използваме следната команда.

 Защитна стена-cmd --get-default-zone 

Стъпка 2
Резултатът ще бъде следният:

Стъпка 3
За да разберем кои правила са свързани със споменатата зона, можем да използваме следната команда:

 Защитна стена-cmd-list-all

5. Как да изследвате различните зони в CentOS 7

Етап 1
Можем да проверим кои зони са достъпни за използване, като въведем следната команда:

 Защитна стена-cmd --get-зони 

Стъпка 2
Възможно е да видите конфигурацията, свързана с зона, използвайки параметъра -zone; например:

 Защитна стена-cmd --zone = home --list-all 

6. Как да изберете зони за мрежови интерфейси в CentOS 7

Етап 1
Възможно е в активна сесия да присвоим определена зона към мрежов интерфейс на компютъра, за това ще присвоим домашната зона към eth0 интерфейса на CentOS 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Стъпка 2
Можем да видим, че състоянието му е правилно, можем да потвърдим това, като използваме следната команда:

 Защитна стена-cmd --get-active-зони 

Стъпка 3
Проблемът е, че интерфейсът ще се върне към зоната си по подразбиране, ако не сме конфигурирали зона, дефинирана в споменатия интерфейс, тези интерфейсни конфигурации се помещават в рамките на следния маршрут:

 / etc / sysconfig / network-scripts 

Стъпка 4
Файловете в тази директория са във формат ifcfg-интерфейс. Например, можем да определим зоната за интерфейса eth0, като използваме следната команда:

 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Как да коригирате правилата за приложения в CentOS 7

Етап 1
Можем да добавим изключения към защитната стена, така че определени приложения да могат да се изпълняват директно без никакви проблеми, за да видим услугите, налични в CentOS 7, ще използваме следната команда:

 Защитна стена-cmd --get-services 

Стъпка 2
За да активирате услуга в определена област, ще е необходимо да използвате следния параметър:

 --add-service = параметър 

Стъпка 3
Ако искаме да добавим http услугата в публичната зона, ще използваме следния синтаксис:

 sudo Firewall-cmd --zone = public --add-service = http 

Стъпка 4
Възможно е да видите всички услуги в тази зона, включително току -що добавената, като използвате следната команда.

 Защитна стена-cmd --zone = public --list-services 

Стъпка 5
Сега, ако искаме тази услуга да бъде постоянна, трябва да добавим, както споменахме, параметъра -permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

По този начин услугата ще бъде активна при всяко влизане в CentOS 7.

8. Как да отворите порт за определена зона в CentOS 7

Етап 1
Отварянето на порт в защитната стена ни дава възможност да получим по -добра поддръжка за нашите приложения и програми, например, ако имаме приложение, което използва 3500 UDP порт, трябва да го добавим към зоната, използвайки параметъра -add -port като този :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Стъпка 2
За да видите отворените портове във защитната стена, можем да използваме следната команда.

 Защитна стена-cmd --list-портове 

9. Как да създадете своя собствена зона във Firewalld на CentOS 7

Въпреки че зоните, които са по подразбиране в защитната стена CentOS 7, отговарят на нуждите на една организация, може да искаме да създадем нашите правила за конкретни услуги.

Етап 1
Ще създадем нова зона, наречена Solvetic, за която ще въведем следното:

 sudo Firewall-cmd --permanent --new-zone = Solvetic 

Стъпка 2
Можем да използваме следната команда, за да видим горещите точки в CentOS 7:

 sudo Firewall-cmd --permanent --get-зони 

Стъпка 3
Сега, за да бъде отразена новата зона, трябва да рестартираме услугата Firewalld, като използваме следната команда:

 sudo Firewall -cmd -reload 

Стъпка 4
Сега, ако искаме да добавим услуга към новата ни зона, например SSH, ще използваме следната команда:

 udo Защитна стена-cmd --zone = Solvetic --add-service = ssh 

10. Как да активирате защитната стена за автоматично стартиране при влизане в CentOS7

Ако искаме услугата Firewall да бъде активирана от началото на CentOS 7 и не е необходимо да я активираме по всяко време, можем да използваме следната команда:

 sudo systemctl активира Firewalld 

По този начин защитната стена ще бъде активна през цялото време в CentOS 7, защитавайки всички системни параметри.

11. Как да спрете и деактивирате Firewalld в CentOS 7

Етап 1
За да деактивираме Firewalld в CentOS 7, трябва да използваме следната команда:

 systemctl деактивирайте Firewalld 

Стъпка 2
За да спрем напълно Firewalld ще използваме следната команда:

 systemctl stop Firewalld 

12. Как да блокирате Firewalld на Linux CentOS и Ubuntu

Както виждаме с защитната стена, ние също сме изложени на риск, че локален софтуер, като програми или услуги, може да направи промени в конфигурацията на нашата защитна стена, ако се стартира като root. Но като добри администратори можем да контролираме кои програми могат да правят промени и кои са включени в белия списък.

Етап 1
Това е деактивирано по подразбиране, но можем да го контролираме със следните команди:

 sudo firewall-cmd --lockdown-on (Активиране) sudo firewall-cmd --lockdown-off (деактивиране)

Стъпка 2
Друг метод за управление на тази опция по по-сигурен начин е да го направите от базовия конфигурационен файл, тъй като защитната стена-cmd не винаги съществува. Затова изпълняваме следното:

 sudo nano /etc/firewalld/firewalld.conf

Стъпка 3
Тук трябва да потърсим реда Lockdown = no и да предадем състоянието му на Lockdown = yes.

Увеличете

Стъпка 4
Сега просто трябва да запазите промените и да излезете с тези клавиши:
Запазваме промените, като използваме следната комбинация от клавиши:

Ctrl + O

Оставяме редактора, използвайки:

Ctrl + X

13. Как да деактивирате защитната стена в Linux CentOS Ubuntu

Системите на Linux и различните им дистрибуции включват тип защитна стена, наречена UFW, която се стреми да защити целостта на мрежовата сигурност, като по този начин контролира връзките и установява дали те са защитени или не. Както виждаме, в CentOS тази защитна стена се нарича firewalld и нейната мисия са нивата на доверие и мрежовите зони в зависимост от това дали са вредни за системата или не. Този Firewalld е интегриран както в CentOS, така и в RedHat.

По подразбиране този firewalld е деактивиран и в Solvetic препоръчваме да го активирате, за да контролирате кои връзки са сигурни и кои не. Има обаче моменти, когато трябва да изпълняваме задачи или тестове, когато защитната стена го предотвратява и затова трябва временно да го деактивираме. За да активирате или деактивирате защитната стена, можете да направите следното:

14. Как да инсталирате и конфигурирате CSF защитна стена на CentOS 7 Linux

В рамките на управлението на защитната стена в CentOS можем да говорим за защитната стена на CSF. Това е основен елемент на защита в управлението на уеб сървъра. Основната му мисия е да спре тъмния трафик на злонамерено съдържание, което може да влезе в сървъра. Тази защитна стена действа като стена срещу натрапници или груби атаки, които се опитват да повредят нашите системи.

CSF защитната стена ни уведомява в реално време и по имейл за всичко, което се случва на нашите сървъри. Благодарение на тези известия ще можем да действаме бързо и да облекчим възникналите проблеми. Тази CSF защитна стена извършва изчерпателен анализ на SPI пакети, като същевременно изпълнява задачи за сигурност като тези, които споменахме.

За да инсталираме и конфигурираме CSF защитната стена в CentOS 7, ще направим следното.

По този начин можем да управляваме всички стойности на Firewalld в CentOS 7, за да установим зони според корпоративните нужди. Сигурността е много важна и повече, ако говорим за работна среда, където информацията е много по -деликатна.