1. 开启系统防火墙
1、检查内容
检查操作系统是否开启防火墙;
2、配置要求
操作系统开启防火墙;
3、配置方法
systemctl status firewalld
systemctl start firewalld
systemctl restart firewalld
2. 配置防火墙开放端口安全策略
1、检查内容
检查系统防火墙端口开放配置,以最小化原则开放需要的端口;
2、配置要求
建议限制系统对外开放的端口,只开放业务运行需要的对外端口;
3、配置方法
firewall-cmd --list-all
firewall-cmd --add-port=80/tcp --permanent
service firewalld reload
firewall-cmd --list-all
对于不用端口也可以删除:
firewall-cmd --list-all
firewall-cmd --remove-port=80/tcp --permanent
service firewalld reload
firewall-cmd --list-all
3. 配置防火墙限制 IP 地址访问安全策略
1、检查内容
检查系统防火墙 IP 地址访问配置,以最小化原则开放需要的 IP;
2、配置要求
建议限制系统对外开放的 IP,只开放业务运行需要的对外 ip 地址;
3、配置方法
irewall-cmd --list-all
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” accept” --permanent
192.168.1.18 单个地址对服务器的访问
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.0/24” accept” --permanent
192.168.1. 0/24 地址段对服务器的访问
service firewalld reload
firewall-cmd --list-all
对于不用端口也可以删除:
firewall-cmd --list-all
firewall-cmd --remove-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” accept” --permanent
关闭 192.168.1.18 对服务器的访问
service firewalld reload
firewall-cmd --list-all
4. 配置防火墙限制 IP 地址访问指定端口安全策略
1、检查内容
检查系统防火墙 IP 地址访问端口配置,以最小化原则开放需要的 IP 和端口;
2、配置要求
建议限制系统对外开放的 IP 和端口,只开放业务运行需要的对外 ip 地址和端口;
3、配置方法
irewall-cmd --list-all
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” port protocol=”tcp” port=”22” accept” --
permanent
firewall-cmd --add-rich-rule=”rule family=”ipv4” source address=”192.168.1.0/24” port protocol=”tcp” port=”22” accept” --
permanent
service firewalld reload
firewall-cmd --list-all
对于不用端口也可以删除:
firewall-cmd --list-all
firewall-cmd --remove-rich-rule=”rule family=”ipv4” source address=”192.168.1.18” port protocol=”tcp” port=”22” accept” --
permanent
service firewalld reload
firewall-cmd --list-all
