Управління мережевою безпекою має вирішальне значення при запуску додатків або служб на сервері Linux, особливо на високопродуктивній платформі, такій як ava.hosting. Firewalld, динамічний інструмент керування брандмауером, що використовується в таких дистрибутивах, як CentOS, RHEL і Fedora, пропонує потужний контроль завдяки функції розширених правил. Розширені правила дозволяють створювати точні, деталізовані політики для захисту вашого сервера, що виходять далеко за межі базових налаштувань брандмауера. Наприклад, ви можете використовувати розширені правила, щоб дозволити доступ до SSH на сервері ava.hosting лише з IP-адреси вашого офісу, захистивши його від несанкціонованого доступу. У цьому посібнику розглядаються розширені правила брандмауера Firewalld, способи їх застосування та найкращі практики для захисту вашого середовища ava.hosting.

Що таке розширені правила в Firewalld?

Розширені правила – це вдосконалений метод визначення політик брандмауера, що пропонує додаткові параметри фільтрації, такі як

  • Вказівка адреси джерела та призначення
  • Дозвіл або відхилення трафіку на основі протоколів або портів
  • Визначення правил ведення журналів і аудиту
  • Встановлення лімітів швидкості та дій для певних з’єднань

Розширені правила дозволяють адміністраторам створювати тонко налаштовані політики безпеки, що виходять за рамки базових правил для зон і служб

Перевірка наявних розширених правил

Щоб перевірити, чи є в даний момент налаштовані розширені правила, виконайте наступну команду:

firewall-cmd --list-rich-rules

Вона покаже всі активні в даний момент розширені правила на брандмауері

Додавання розширеного правила

Щоб додати нове розширене правило, використовуйте наступний синтаксис:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Це правило дозволяє SSH-трафік з певної IP-адреси (192.168.1.100). Після додавання правила перезавантажте Firewalld для застосування змін:

firewall-cmd --reload

Блокування трафіку за допомогою розширеного правила

Щоб заблокувати трафік з певної IP-адреси, використовуйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.200" drop'

Це правило буде мовчки відкидати весь трафік з 192.168.1.200 без надсилання відповіді

Дозвіл трафіку для певного порту і протоколу

Щоб дозволити трафік для певного порту і протоколу, наприклад, HTTP на порту 80:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

Це правило дозволяє трафік HTTP з будь-якого пристрою в підмережі 192.168.1.0/24

Ведення журналу та аудит трафіку

Для реєстрації відкинутих пакетів з метою моніторингу використовуйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'

Це правило відкидає трафік з адреси 192.168.1.150 і реєструє його з префіксом [FIREWALL-DROP]

Видалення розширеного правила

Щоб видалити певне розширене правило, використовуйте:

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Потім перезавантажте Firewalld:

firewall-cmd --reload

Найкращі практики керування розширеними правилами

  • Завжди тестуйте нові правила брандмауера, перш ніж застосовувати їх постійно.
  • Використовуйте правила ведення журналів для моніторингу та аналізу заблокованого трафіку.
  • Регулярно переглядайте правила брандмауера, щоб забезпечити відповідність вимогам безпеки.
  • Обмежте доступ до критично важливих служб за IP-адресою або підмережею.

Висновок

Багаті правила брандмауера Firewalld пропонують неперевершену гнучкість для захисту мережевого трафіку на вашому сервері Linux, що робить їх обов’язковими для адміністраторів. Незалежно від того, чи обмежуєте ви SSH одним IP, чи дозволяєте HTTP для довіреної підмережі, чи реєструєте спроби несанкціонованого доступу, розширені правила дають вам змогу створити точну політику безпеки. Наприклад, ви можете заблокувати шкідливу IP-адресу, щоб захистити свій додаток, розміщений на ava.hosting, або реєструвати трафік, щоб усунути проблеми зі з’єднанням. Опанувавши розширені правила та використовуючи надійну інфраструктуру ava.hosting, ви зможете забезпечити безпеку, ефективність і стійкість вашого сервера до загроз.

Крім того, розширені правила дозволяють здійснювати тонкий контроль, який виходить далеко за межі базового управління портами, надаючи вам можливість динамічно реагувати на сценарії безпеки, що змінюються. Вони легко інтегруються зі складними середовищами, дозволяючи адміністраторам визначати правила на основі служб, інтерфейсів, пріоритетів і навіть атрибутів пакетів. За допомогою правильної стратегії конфігурації ви можете створити жорстку політику брандмауера, яка не тільки посилить захист вашого сервера, але й оптимізує продуктивність і зменшить непотрібні накладні витрати.