提交支持工单
24/7 客户支持
提交支持工单 与我们的 AVAHOST 专家聊天
登录
info@ava-host.com
注册 登录

Ana Sayfa » FAQ » 在 Firewalld 中管理 Rich Rules

在 Firewalld 中管理 Rich Rules

热门:
升级您的服务器配置! 申请 AVA 并使用 立减 15%
使用优惠码:
5 3 月, 2025 14:53 1 min

在 Linux server 上运行应用程序或服务时,管理网络安全至关重要,尤其是在像 ava.hosting 这样高性能的平台上。Firewalld 是一种动态 firewall 管理工具,常用于 CentOS、RHEL 和 Fedora 等发行版,通过其 rich rules 功能提供强大的控制。rich rules 能够实现精确、细粒度的策略来保护您的 server,远远超出基本 firewall 设置。例如,您可以使用 rich rule 仅允许您的办公室 IP 访问您在 ava.hosting server 上的 SSH,从而防止未经授权的访问。本指南将探讨 Firewalld 的 rich rules、如何实施它们,以及保护您的 ava.hosting 环境的最佳实践。

Firewalld 中的 Rich Rules 是什么?

Rich rules 是一种定义 firewall 策略的高级方法,提供额外的过滤选项,例如:

  • 指定源地址和目标地址
  • 根据协议或端口允许或拒绝流量
  • 定义日志和审计规则
  • 为特定连接设置速率限制和操作

Rich rules 允许管理员创建超越基本 zone 和基于 service 的规则的精细安全策略。

检查现有 Rich Rules

要检查当前是否已配置任何 rich rules,请运行以下命令:

firewall-cmd --list-rich-rules

这将显示 firewall 中当前处于活动状态的任何 rich rules。

添加 Rich Rule

要添加新的 rich rule,请使用以下语法:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

此规则允许来自特定 IP 地址(192.168.1.100)的 SSH 流量。

添加规则后,重新加载 Firewalld 以应用更改:

firewall-cmd --reload

使用 Rich Rule 阻止流量

要阻止来自特定 IP 地址的流量,请使用:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.200" drop'

此规则将静默丢弃来自 192.168.1.200 的所有流量,而不发送响应。

允许特定端口和协议的流量

要允许特定端口和协议的流量,例如端口 80 上的 HTTP:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

此规则允许来自 192.168.1.0/24 子网内任何设备的 HTTP 流量。

记录和审计流量

要记录被丢弃的数据包以便监控,请使用:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'

此规则会丢弃来自 192.168.1.150 的流量,并使用前缀 [FIREWALL-DROP] 进行记录。

删除 Rich Rule

要删除特定的 rich rule,请使用:

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

然后重新加载 Firewalld:

firewall-cmd --reload

管理 Rich Rules 的最佳实践

  • 在永久应用新的 firewall 规则之前,始终先进行测试。
  • 使用日志规则来监控和分析被阻止的流量。
  • 定期审查 firewall 规则,以确保符合安全要求。
  • 通过 IP 地址或子网限制对关键服务的访问。

结论

Firewalld 的 rich rules 为保护 Linux server 上的网络流量提供了无与伦比的灵活性,使其成为管理员必备的工具。无论您是将 SSH 限制为单个 IP,允许受信任子网的 HTTP,还是记录未经授权的访问尝试,rich rules 都能让您制定精确的安全策略。例如,您可以阻止恶意 IP 以保护您托管在 ava.hosting 上的应用,或记录流量以排查连接问题。通过掌握 rich rules 并利用 ava.hosting 强大的基础设施,您可以确保您的 server 保持安全、高效,并能抵御威胁。

此外,rich rules 还能实现远超基本端口管理的细粒度控制,使您能够对不断变化的安全场景做出动态响应。它们可与复杂环境无缝集成,允许管理员基于 service、接口、优先级,甚至数据包属性来定义规则。通过正确的配置策略,您可以构建一套强化的 firewall 策略,不仅增强 server 的安全态势,还能优化性能并减少不必要的开销。

相关文章

如何在 Ubuntu 上安装 Webuzo

介绍 Webuzo 是一个功能强大的单用...

2 月 28, 20251 min

分布式数据库的重要且显著的优势

释放分布式数据库的力量 在当今数据驱动的...

4 月 4, 20251 min

如何使用 WP Hide Login 保护 WordPress 管理页面

保护您的 WordPress 网站最简单...

5 月 15, 20251 min