Cara menggunakan tembok api untuk menyediakan keselamatan penghantaran rangkaian untuk pelayan CentOS

Cara menggunakan tembok api untuk menyediakan keselamatan penghantaran rangkaian untuk pelayan CentOS

Tembok api ialah salah satu komponen penting dalam keselamatan pelayan. Ia boleh membantu kami menapis trafik rangkaian berniat jahat dan melindungi pelayan daripada pencerobohan dan serangan. Artikel ini akan memperkenalkan cara menggunakan tembok api untuk menyediakan keselamatan penghantaran rangkaian untuk pelayan CentOS, dan melampirkan contoh kod.

1. Semak Status Firewall
   Sebelum memulakan persediaan, kami mesti terlebih dahulu mengesahkan sama ada tembok api didayakan. Masukkan arahan berikut dalam terminal untuk menyemak status firewall:

sudo systemctl status firewalld

Jika output menunjukkan "aktif (berjalan)", ia bermakna firewall didayakan; jika output menunjukkan "tidak aktif (mati)", ia bermakna firewall tidak didayakan.

2. Dayakan Firewall
   Jika firewall tidak didayakan, kita perlu mendayakannya terlebih dahulu. Masukkan arahan berikut dalam terminal untuk mendayakan firewall:

sudo systemctl start firewalld

3. Tetapkan peraturan firewall lalai
   Sebelum menetapkan peraturan keselamatan penghantaran rangkaian tertentu, kami mula-mula menetapkan beberapa peraturan firewall lalai untuk menghalang capaian yang tidak dibenarkan. Masukkan arahan berikut dalam terminal untuk menetapkan peraturan lalai:

sudo firewall-cmd --set-default-zone=public
sudo firewall-cmd --permanent --zone=public --remove-service=dhcpv6-client
sudo firewall-cmd --permanent --zone=public --remove-service=dhcpv6-server
sudo firewall-cmd --reload

Arahan di atas akan menetapkan zon tembok api lalai kepada "awam" dan mengalih keluar perkhidmatan yang berkaitan dengan klien dan pelayan DHCPv6.

4. Buka port yang diperlukan
   Seterusnya, kita perlu membuka port yang perlu digunakan pada pelayan. Masukkan arahan berikut dalam terminal untuk membuka port, mengambil port 80 sebagai contoh:

sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
sudo firewall-cmd --permanent --zone=public --add-port=80/udp
sudo firewall-cmd --reload

Arahan di atas akan membuka port 80 secara kekal, menyokong protokol TCP dan UDP.

5. Sekat Port yang Tidak Diperlukan
   Untuk meningkatkan keselamatan pelayan, kami boleh menyekat port yang tidak diperlukan untuk menghalang penyerang daripada menggunakannya untuk serangan. Masukkan arahan berikut dalam terminal untuk menyekat port yang ditentukan, mengambil port 22 sebagai contoh:

sudo firewall-cmd --permanent --zone=public --remove-port=22/tcp
sudo firewall-cmd --permanent --zone=public --remove-port=22/udp
sudo firewall-cmd --reload

Arahan di atas akan menyekat protokol TCP dan UDP port 22 secara kekal.

6. Konfigurasikan peraturan firewall
   Selain membuka dan menyekat port, kami juga boleh mengkonfigurasi peraturan firewall yang lebih kompleks mengikut keperluan kami sendiri. Masukkan arahan berikut dalam terminal untuk mengkonfigurasi peraturan untuk membenarkan alamat IP yang ditentukan untuk mengakses port pelayan:

sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.0.10' port protocol='tcp' port='3306' accept"
sudo firewall-cmd --reload

Arahan di atas akan secara kekal membenarkan hos dengan alamat IP 192.168.0.10 untuk mengakses port 3306 pelayan.

7. Semak peraturan firewall
   Selepas persediaan selesai, kita boleh menggunakan arahan berikut untuk melihat peraturan firewall semasa:

sudo firewall-cmd --zone=public --list-all

Arahan di atas akan memaparkan semua peraturan firewall dalam zon "awam" semasa.

Ringkasan:
Artikel ini memperkenalkan cara menggunakan tembok api untuk menyediakan keselamatan penghantaran rangkaian untuk pelayan CentOS. Dengan menetapkan peraturan firewall, membuka port yang diperlukan, menyekat port yang tidak diperlukan dan mengkonfigurasi peraturan yang kompleks, kami boleh meningkatkan keselamatan rangkaian pelayan. Sila pilih peraturan firewall yang sesuai berdasarkan keperluan sebenar dan semak sama ada peraturan itu berkuat kuasa selepas konfigurasi selesai.

Atas ialah kandungan terperinci Cara menggunakan tembok api untuk menyediakan keselamatan penghantaran rangkaian untuk pelayan CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!