CentOS7安全加固:使用firewalld配置网络访问控制策略
在Linux系统安全防护中,网络访问控制是基础且关键的一环。本文将详细介绍如何在CentOS7环境中通过firewalld配置有效的网络访问控制策略。
firewalld基础配置
首先确认firewalld服务状态:
systemctl status firewalld
启动并设置开机自启:
systemctl start firewalld
systemctl enable firewalld
核心安全策略配置
- 默认区域配置:将默认区域设为
drop,拒绝所有未明确允许的连接
firewall-cmd --set-default-zone=drop
- SSH访问控制:仅允许特定网段访问SSH服务
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
- Web服务访问控制:限制HTTP/HTTPS访问范围
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port protocol="tcp" port="80" accept'
策略验证与应用
执行以下命令使配置生效:
firewall-cmd --reload
firewall-cmd --list-all
通过iptables -L可查看底层规则,确保策略已正确应用。建议定期审查防火墙规则,避免过度放权或误封重要服务。
注意事项
- 在生产环境中配置前,务必做好备份和测试
- 确保本地访问权限,避免因配置错误导致无法连接服务器
- 定期更新firewalld规则以应对新的安全威胁
讨论