Linux防火墻入門(mén)教程
防火墻是你的計(jì)算機(jī)防止網(wǎng)絡(luò)入侵的第一道屏障。為確保你的安全,請(qǐng)下載我們的備忘單。
合理的防火墻是你的計(jì)算機(jī)防止網(wǎng)絡(luò)入侵的第一道屏障。你在家里上網(wǎng),通常互聯(lián)網(wǎng)服務(wù)提供會(huì)在路由中搭建一層防火墻。當(dāng)你離開(kāi)家時(shí),那么你計(jì)算機(jī)上的那層防火墻就是僅有的一層,所以配置和控制好你 Linux 電腦上的防火墻很重要。如果你維護(hù)一臺(tái) Linux 服務(wù)器,那么知道怎么去管理你的防火墻同樣重要,只要掌握了這些知識(shí)你才能保護(hù)你的服務(wù)器免于本地或遠(yuǎn)程非法流量的入侵。
安裝防火墻
很多 Linux 發(fā)行版本已經(jīng)自帶了防火墻,通常是 iptables。它很強(qiáng)大并可以自定義,但配置起來(lái)有點(diǎn)復(fù)雜。幸運(yùn)的是,有開(kāi)發(fā)者寫(xiě)出了一些前端程序來(lái)幫助用戶(hù)控制防火墻,而不需要寫(xiě)冗長(zhǎng)的 iptables 規(guī)則。
在 Fedora、CentOS、Red Hat 和一些類(lèi)似的發(fā)行版本上,默認(rèn)安裝的防火墻軟件是 firewalld,通過(guò) firewall-cmd 命令來(lái)配置和控制。在 Debian 和大部分其他發(fā)行版上,可以從你的軟件倉(cāng)庫(kù)安裝 firewalld。Ubuntu 自帶的是簡(jiǎn)單防火墻(ufw),所以要使用 firewalld,你必須啟用 universe 軟件倉(cāng)庫(kù):
$ sudo add-apt-repository universe$ sudo apt install firewalld
你還需要停用 ufw:
$ sudo systemctl disable ufw
沒(méi)有理由不用 ufw。它是一個(gè)強(qiáng)大的防火墻前端。然而,本文重點(diǎn)講 firewalld,因?yàn)榇蟛糠职l(fā)行版都支持它而且它集成到了 systemd,systemd 是幾乎所有發(fā)行版都自帶的。
不管你的發(fā)行版是哪個(gè),都要先激活防火墻才能讓它生效,而且需要在啟動(dòng)時(shí)加載:
$ sudo systemctl enable --now firewalld
理解防火墻的域
Firewalld 旨在讓防火墻的配置工作盡可能簡(jiǎn)單。它通過(guò)建立域來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。一個(gè)域是一組的合理、通用的規(guī)則,這些規(guī)則適配大部分用戶(hù)的日常需求。默認(rèn)情況下有九個(gè)域。
trusted:接受所有的連接。這是最不偏執(zhí)的防火墻設(shè)置,只能用在一個(gè)完全信任的環(huán)境中,如測(cè)試實(shí)驗(yàn)室或網(wǎng)絡(luò)中相互都認(rèn)識(shí)的家庭網(wǎng)絡(luò)中。home、work、internal:在這三個(gè)域中,接受大部分進(jìn)來(lái)的連接。它們各自排除了預(yù)期不活躍的端口進(jìn)來(lái)的流量。這三個(gè)都適合用于家庭環(huán)境中,因?yàn)樵诩彝キh(huán)境中不會(huì)出現(xiàn)端口不確定的網(wǎng)絡(luò)流量,在家庭網(wǎng)絡(luò)中你一般可以信任其他的用戶(hù)。public:用于公共區(qū)域內(nèi)。這是個(gè)偏執(zhí)的設(shè)置,當(dāng)你不信任網(wǎng)絡(luò)中的其他計(jì)算機(jī)時(shí)使用。只能接收選定的常見(jiàn)和最安全的進(jìn)入連接。dmz:DMZ 表示隔離區(qū)。這個(gè)域多用于可公開(kāi)訪(fǎng)問(wèn)的、位于機(jī)構(gòu)的外部網(wǎng)絡(luò)、對(duì)內(nèi)網(wǎng)訪(fǎng)問(wèn)受限的計(jì)算機(jī)。對(duì)于個(gè)人計(jì)算機(jī),它沒(méi)什么用,但是對(duì)某類(lèi)服務(wù)器來(lái)說(shuō)它是個(gè)很重要的選項(xiàng)。external:用于外部網(wǎng)絡(luò),會(huì)開(kāi)啟偽裝(你的私有網(wǎng)絡(luò)的地址被映射到一個(gè)外網(wǎng) IP 地址,并隱藏起來(lái))。跟 DMZ 類(lèi)似,僅接受經(jīng)過(guò)選擇的傳入連接,包括 SSH。block:僅接收在本系統(tǒng)中初始化的網(wǎng)絡(luò)連接。接收到的任何網(wǎng)絡(luò)連接都會(huì)被icmp-host-prohibited信息拒絕。這個(gè)一個(gè)極度偏執(zhí)的設(shè)置,對(duì)于某類(lèi)服務(wù)器或處于不信任或不安全的環(huán)境中的個(gè)人計(jì)算機(jī)來(lái)說(shuō)很重要。drop:接收的所有網(wǎng)絡(luò)包都被丟棄,沒(méi)有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。比這個(gè)設(shè)置更極端的辦法,唯有關(guān)閉 WiFi 和拔掉網(wǎng)線(xiàn)。
你可以查看你發(fā)行版本的所有域,或通過(guò)配置文件 /usr/lib/firewalld/zones 來(lái)查看管理員設(shè)置。舉個(gè)例子:下面是 Fefora 31 自帶的 FedoraWorkstation 域:
$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml<?xml version="1.0" encoding="utf-8"?><zone><short>Fedora Workstation</short><description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description><service name="dhcpv6-client"/><service name="ssh"/><service name="samba-client"/><port protocol="udp" port="1025-65535"/><port protocol="tcp" port="1025-65535"/></zone>
獲取當(dāng)前的域
任何時(shí)候你都可以通過(guò) --get-active-zones 選項(xiàng)來(lái)查看你處于哪個(gè)域:
$ sudo firewall-cmd --get-active-zones
輸出結(jié)果中,會(huì)有當(dāng)前活躍的域的名字和分配給它的網(wǎng)絡(luò)接口。筆記本電腦上,在默認(rèn)域中通常意味著你有個(gè) WiFi 卡:
FedoraWorkstationinterfaces: wlp61s0
修改你當(dāng)前的域
要更改你的域,請(qǐng)將網(wǎng)絡(luò)接口重新分配到不同的域。例如,把例子中的 wlp61s0 卡修改為 public 域:
$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public
你可以在任何時(shí)候、任何理由改變一個(gè)接口的活動(dòng)域 —— 無(wú)論你是要去咖啡館,覺(jué)得需要增加筆記本的安全策略,還是要去上班,需要打開(kāi)一些端口進(jìn)入內(nèi)網(wǎng),或者其他原因。在你憑記憶學(xué)會(huì) firewall-cmd 命令之前,你只要記住了關(guān)鍵詞 change 和 zone,就可以慢慢掌握,因?yàn)榘聪?nbsp;Tab 時(shí),它的選項(xiàng)會(huì)自動(dòng)補(bǔ)全。
更多信息
你可以用你的防火墻干更多的事,比如自定義已存在的域,設(shè)置默認(rèn)域,等等。你對(duì)防火墻越了解,你在網(wǎng)上的活動(dòng)就越安全,所以我們創(chuàng)建了一個(gè)備忘單便于速查和參考。
- 下載你的 防火墻備忘單。(需注冊(cè))
