1.7防火墙配置1.7.1FirewallD防火墙简介
为降低系统安全性,Linux提供了防火墙保护功能。防火墙存在于计算机和网路之间,用于判定网路中的远程用户的访问权限。在RHEL7系统中默认使用FirewallD防火墙。FirewallD提供了支持网路/防火墙区域定义网路链接以及插口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥接,而且拥有运行时配置和永久配置选项。它也支持容许服务或则应用程序直接添加防火墙规则的插口。原先的Iptables防火墙是静态的,每次更改都要求防火墙完全重启。FirewallD可以动态管理防火墙,支持动态配置,不用重启服务。
通过将网路界定成不同的区域,制订出不同区域之间的访问控制策略,来控制不同程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网路是高度信任的区域。数据包步入到内核必需要通过区域,而不同的区域定义的规则是不一样的。可以按照网卡所联接的网路的安全性来判断:这块网卡的流量究竟使用那个区域。可以把这种区域想像成步入列车站的安检,不同的入口检查的严格度不一样。默认情况下,FirewallD防火墙的联接区域为public,public在公共区域内使用,指定外部联接可以步入内部网路或主机。
1.7.2FirewallD防火墙配置
在Linux系统图形界面中,单击面板上的【应用程序】→【杂项】→【防火墙】linux 开启防火墙端口,或在图形界面下的终端中输入firewall-config命令,打开图1.43所示的【防火墙配置】界面,默认使用public区域。
图1.43打开【防火墙配置】界面
1.添加可信服务
在public区域中选择【服务】选项卡,在该页面上选择准许访问的可信服务,如dns、ftp、http等,防火墙在默认启用状态下只有dhcpv6-client和ssh可信服务。图1.44所示为勾选了http可信服务linux 开启防火墙端口,这样一来,这台Linux主机上的Web网站能够被别的主机访问。
2.添加端口
假如须要添加的服务在【服务】选项卡里没有,这么只能通过添加容许让其他主机或网路访问的端口来实现。在public区域中选择【端口】选项卡,在该页面上单击【添加】按钮linux系统安装教程,打开图1.45所示的【端口和合同】对话框,输入端口和合同,合同有tcp和udp之分,之后单击【确定】按钮。
返回【端口】选项卡页面,如图1.46所示,早已添加了5801端标语(tcp合同),这样一来,在别的主机上才能访问这台Linux系统下端标语为5801的服务了。
图1.44添加可信的服务
图1.45添加端口和合同
图1.46早已添加了新端口
3.伪装
在public区域中选择【伪装】选项卡,在该页面上选择【伪装区域】复选框,如图1.47所示学linux有前途吗,通过伪装形式可以将本地网路联接到互联网,这样本地网路将不可见。
图1.47伪装
