日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

防火墻是你的計算機防止網(wǎng)絡(luò)入侵的第一道屏障。為確保你的安全，請下載我們的備忘單。

合理的防火墻是你的計算機防止網(wǎng)絡(luò)入侵的第一道屏障。你在家里上網(wǎng)，通?；ヂ?lián)網(wǎng)服務(wù)提供會在路由中搭建一層防火墻。當(dāng)你離開家時，那么你計算機上的那層防火墻就是僅有的一層，所以配置和控制好你 linux 電腦上的防火墻很重要。如果你維護一臺 Linux 服務(wù)器，那么知道怎么去管理你的防火墻同樣重要，只要掌握了這些知識你才能保護你的服務(wù)器免于本地或遠(yuǎn)程非法流量的入侵。

安裝防火墻

很多 Linux 發(fā)行版本已經(jīng)自帶了防火墻，通常是 iptables。它很強大并可以自定義，但配置起來有點復(fù)雜。幸運的是，有開發(fā)者寫出了一些前端程序來幫助用戶控制防火墻，而不需要寫冗長的 iptables 規(guī)則。

在 Fedora、CentOS、Red Hat 和一些類似的發(fā)行版本上，默認(rèn)安裝的防火墻軟件是 firewalld，通過 firewall-cmd 命令來配置和控制。在 Debian 和大部分其他發(fā)行版上，可以從你的軟件倉庫安裝 firewalld。Ubuntu 自帶的是簡單防火墻Uncomplicated Firewall（ufw），所以要使用 firewalld，你必須啟用 universe 軟件倉庫：

$ sudo add-apt-repository universe
$ sudo apt install firewalld

你還需要停用 ufw：

$ sudo systemctl disable ufw

沒有理由不用 ufw。它是一個強大的防火墻前端。然而，本文重點講 firewalld，因為大部分發(fā)行版都支持它而且它集成到了 systemd，systemd 是幾乎所有發(fā)行版都自帶的。

不管你的發(fā)行版是哪個，都要先激活防火墻才能讓它生效，而且需要在啟動時加載：

$ sudo systemctl enable --now firewalld

理解防火墻的域

Firewalld 旨在讓防火墻的配置工作盡可能簡單。它通過建立域zone來實現(xiàn)這個目標(biāo)。一個域是一組的合理、通用的規(guī)則，這些規(guī)則適配大部分用戶的日常需求。默認(rèn)情況下有九個域。

• trusted：接受所有的連接。這是最不偏執(zhí)的防火墻設(shè)置，只能用在一個完全信任的環(huán)境中，如測試實驗室或網(wǎng)絡(luò)中相互都認(rèn)識的家庭網(wǎng)絡(luò)中。
• home、work、internal：在這三個域中，接受大部分進來的連接。它們各自排除了預(yù)期不活躍的端口進來的流量。這三個都適合用于家庭環(huán)境中，因為在家庭環(huán)境中不會出現(xiàn)端口不確定的網(wǎng)絡(luò)流量，在家庭網(wǎng)絡(luò)中你一般可以信任其他的用戶。
• public：用于公共區(qū)域內(nèi)。這是個偏執(zhí)的設(shè)置，當(dāng)你不信任網(wǎng)絡(luò)中的其他計算機時使用。只能接收選定的常見和最安全的進入連接。
• dmz：DMZ 表示隔離區(qū)。這個域多用于可公開訪問的、位于機構(gòu)的外部網(wǎng)絡(luò)、對內(nèi)網(wǎng)訪問受限的計算機。對于個人計算機，它沒什么用，但是對某類服務(wù)器來說它是個很重要的選項。
• external：用于外部網(wǎng)絡(luò)，會開啟偽裝（你的私有網(wǎng)絡(luò)的地址被映射到一個外網(wǎng) IP 地址，并隱藏起來）。跟 DMZ 類似，僅接受經(jīng)過選擇的傳入連接，包括 SSH。
• block：僅接收在本系統(tǒng)中初始化的網(wǎng)絡(luò)連接。接收到的任何網(wǎng)絡(luò)連接都會被 icmp-host-prohibited 信息拒絕。這個一個極度偏執(zhí)的設(shè)置，對于某類服務(wù)器或處于不信任或不安全的環(huán)境中的個人計算機來說很重要。
• drop：接收的所有網(wǎng)絡(luò)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。比這個設(shè)置更極端的辦法，唯有關(guān)閉 WiFi 和拔掉網(wǎng)線。

你可以查看你發(fā)行版本的所有域，或通過配置文件 /usr/lib/firewalld/zones 來查看管理員設(shè)置。舉個例子：下面是 Fefora 31 自帶的 FedoraWorkstation 域：

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml


  Fedora Workstation
  Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.
  
  
  
  
  

獲取當(dāng)前的域

任何時候你都可以通過 --get-active-zones 選項來查看你處于哪個域：

$ sudo firewall-cmd --get-active-zones

輸出結(jié)果中，會有當(dāng)前活躍的域的名字和分配給它的網(wǎng)絡(luò)接口。筆記本電腦上，在默認(rèn)域中通常意味著你有個 WiFi 卡：

FedoraWorkstation
  interfaces: wlp61s0

修改你當(dāng)前的域

要更改你的域，請將網(wǎng)絡(luò)接口重新分配到不同的域。例如，把例子中的 wlp61s0 卡修改為 public 域：

$ sudo firewall-cmd --change-interface=wlp61s0 --zone=public

你可以在任何時候、任何理由改變一個接口的活動域 —— 無論你是要去咖啡館，覺得需要增加筆記本的安全策略，還是要去上班，需要打開一些端口進入內(nèi)網(wǎng)，或者其他原因。在你憑記憶學(xué)會 firewall-cmd 命令之前，你只要記住了關(guān)鍵詞 change 和 zone，就可以慢慢掌握，因為按下 Tab 時，它的選項會自動補全。

更多信息

你可以用你的防火墻干更多的事，比如自定義已存在的域，設(shè)置默認(rèn)域，等等。你對防火墻越了解，你在網(wǎng)上的活動就越安全，所以我們創(chuàng)建了一個備忘單便于速查和參考。

• 下載你的 防火墻備忘單。（需注冊）