「这是我参与11月更文挑战的第5天,活动详情查看:2021最后一次更文挑战」。
防火墙和安全组配置
防火墙
centos系统上防火墙用的是iptables和firewall,笔者本次使用iptables演示例子
编写一个入口只允许访问 http和https,以及ssh(12211)的规则,全部入口全部拒绝,出口全部拒绝,不允许服务器主动访问外服务
本例中已将ssh服务端口改成12211,且12211端口只有指定的ip才可以访问
#编辑配置文件
vim /etc/sysconfig/iptables
# iptables规则
*filter
:INPUT ACCEPT [8:400]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [44:3744]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT 充许ping
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -s 172.16.1.33/32 -m state --state NEW -m udp -p udp --dport 22:22 -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j DROP
COMMIT
复制代码安全组
如果只写一个iptables规则,就能对一批服务器,或几百上千服务生效,依靠单个iptables是不行的。。此时公有云厂商 出了一个安全组的产品,免费使用,还是界面化配置,非常简单方便了
针对一批机器,比如数据库,可以弄一个规则,,比如应用,又可以弄一个规则。不同业务组之间都可以使用安全 的不同规则来限制
安全组分为入方向和出方向,所谓入方向就是客户来访问你的服务,出方向就是你的服务主动 访问第三方了
入方向配置
禁用ICMP协议,这个ping的协议,禁用之后是ping不通该服务器,产生一种没有该服务器的伪装
12211端口为已更改的ssh端口,只有指定ip可以访问
提供的web服务80,443向公网开放,有网就可以访问。如果不是toC业务。也可以关闭掉。或者只指定ip访问,视情况而定
出方向配置
像数据库类直接拒绝 所有出方向既可,因为数据库又不需要调第三方sdk。如果是业务服务有可能 会访问 短信,验证,云存储,第三方SDK之类的
近期评论