在Linux系统安全防护中,网络访问控制是基础而关键的一环。Ubuntu系统作为广泛使用的服务器操作系统,其防火墙配置直接影响着系统的整体安全性。
firewalld基础配置
firewalld是Ubuntu 18.0后默认的防火墙管理工具,相比iptables更加友好且支持动态配置。首先确认firewalld服务状态:
sudo systemctl status firewalld
若未安装,可执行:
sudo apt update && sudo apt install firewalld
高级访问控制策略
1. 基于源地址的访问控制
为特定IP段设置白名单:
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
2. 端口转发与限制
配置SSH端口修改并限制连接速率:
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="22" reject'
3. 应用服务隔离
为特定服务配置独立区域:
sudo firewall-cmd --permanent --new-zone=webserver
sudo firewall-cmd --permanent --zone=webserver --add-service=http
sudo firewall-cmd --permanent --zone=webserver --add-service=https
安全验证
配置完成后,通过以下命令验证:
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
通过上述配置,可有效降低系统暴露面,减少潜在攻击入口。建议定期审查防火墙规则,确保安全策略与业务需求同步。
讨论