Открыть заявку в службу поддержки
Круглосуточная поддержка клиентов
Открыть заявку в службу поддержки
Русский
Защита сервера Linux с помощью богатых правил Firewalld
Управление сетевой безопасностью очень важно при запуске приложений или сервисов на сервере Linux, особенно на такой высокопроизводительной платформе, как ava.hosting. Firewalld, инструмент динамического управления брандмауэром, используемый в таких дистрибутивах, как CentOS, RHEL и Fedora, предлагает мощный контроль благодаря функции богатых правил. Богатые правила позволяют использовать точные и подробные политики для защиты вашего сервера, выходящие далеко за рамки базовых настроек брандмауэра. Например, вы можете использовать богатые правила, чтобы разрешить доступ к SSH на сервере ava.hosting только с IP-адреса вашего офиса, защитив его от несанкционированного доступа. В этом руководстве рассматриваются подробные правила Firewalld, способы их применения и лучшие практики для защиты вашей среды ava.hosting.
Что такое богатые правила в Firewalld?
Богатые правила – это расширенный метод определения политик брандмауэра, предлагающий дополнительные возможности фильтрации, такие как:
- Указание адресов источника и назначения
- Разрешение или отклонение трафика на основе протоколов или портов
- Определение правил протоколирования и аудита
- Установка ограничений скорости и действий для определенных соединений
Расширенные правила позволяют администраторам создавать тонкие политики безопасности, выходящие за рамки базовых правил, основанных на зонах и службах.
Проверка существующих правил
Чтобы проверить, настроены ли в настоящее время какие-либо правила, выполните следующую команду:
firewall-cmd --list-rich-rulesЭто отобразит все правила, которые в настоящее время активны в брандмауэре.
Добавление правила
Чтобы добавить новое правило, используйте следующий синтаксис:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Это правило разрешает SSH-трафик с определенного IP-адреса (192.168.1.100).
После добавления правила перезагрузите Firewalld, чтобы применить изменения:
firewall-cmd --reloadБлокирование трафика с помощью правила
Чтобы заблокировать трафик с определенного IP-адреса, используйте:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.200" drop'Это правило будет молча отбрасывать весь трафик с адреса 192.168.1.200 без отправки ответа.
Разрешение трафика для определенного порта и протокола
Чтобы разрешить трафик для определенного порта и протокола, например HTTP на порту 80:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'Это правило разрешает HTTP-трафик с любого устройства в пределах подсети 192.168.1.0/24.
Регистрация и аудит трафика
Чтобы регистрировать отброшенные пакеты для целей мониторинга, используйте:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'Это правило отбрасывает трафик с адреса 192.168.1.150 и записывает его в журнал с префиксом [FIREWALL-DROP].
Удаление богатого правила
Чтобы удалить конкретное правило, используйте:
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4"
source address="192.168.1.100" service name="ssh" accept'Затем перезагрузите Firewalld:
firewall-cmd --reloadЛучшие практики управления насыщенными правилами
- Всегда тестируйте новые правила брандмауэра, прежде чем применять их на постоянной основе.
- Используйте правила протоколирования для мониторинга и анализа заблокированного трафика.
- Регулярно пересматривайте правила брандмауэра для обеспечения соответствия требованиям безопасности.
- Ограничьте доступ к критическим службам по IP-адресам или подсетям.
Заключение
Богатые правила Firewalld обеспечивают беспрецедентную гибкость при защите сетевого трафика на вашем Linux-сервере, что делает их обязательным атрибутом для администраторов. Ограничиваете ли вы SSH одним IP-адресом, разрешаете ли HTTP для доверенной подсети или регистрируете попытки несанкционированного доступа – богатые правила позволят вам разработать точные политики безопасности. Например, вы можете заблокировать вредоносный IP-адрес для защиты приложения ava.hosting-hosted или регистрировать трафик для устранения проблем с подключением. Освоив богатые правила и используя надежную инфраструктуру ava.hosting, вы сможете обеспечить безопасность, эффективность и устойчивость вашего сервера к угрозам.
Related Posts
Как перенаправить и переписать URL-адреса с помощью файла .htaccess?
Если вы используете веб-сайт на сервере Apache, файл .htaccess – один из самых мощных инструментов в вашем распоряжении. Он позволяет...
Какие команды помогают очистить кеш Git?
Очистка кэша Git — это процесс удаления временных данных, которые хранятся в локальном репозитории Git. Эти данные могут включать изменения...
Использование команды sleep в сценариях Bash в Linux
При написании Bash-скриптов в Linux часто возникает необходимость ввести паузу или задержку в выполнении. Если вы дросселируете API-запросы, ждете завершения...