Linux 系統中的防火墻設置心得

2019-11-25 08:56:08山東李瑞祥劉楊青湯彧

■山東李瑞祥劉楊青湯彧

出于網絡安全的考慮，一臺Linux 服務器只需要開啟它所提供網絡服務的端口號，除此之外的端口一律不需要開啟。這就要靠Linux 系統的防火墻來實現。

剛開始接觸Linux 的朋友，可能對于開啟防火墻有所顧忌，主要是擔心開啟后正常的網絡服務也不能提供了。這樣本來是為了提高系統的安全性，但是最后卻造成系統不能正常工作了，會被領導追究責任。

其實只要根據操作規范來開啟防火墻是不會對系統的正常服務造成影響的，而是相當于給系統增加一道銅墻鐵壁，可以有效地防范來自外網的攻擊，下面我們就分三步來分享開啟和使用防火墻的心得。

關掉firewalld，開啟iptables

我們所使用的Linux 系統為CentOS 7

系統自帶的是firewalld，這個不符合我們的使用習慣，所以就先停止該程序，并設置為禁止開機自啟動，命令如下：

然后編輯/etc/sysconfig 目錄下面的iptables 文件，設置開放的端口。

相關的設置如下所示：

最初在iptables這個配置文件里面只有一行，關于開放22端口（SSH 服務）的：

-A INPUT -p tcp-m state --state NEW -m tcp --dport 22 -j ACCEPT

我們可以根據這一行進行其他端口的開放，比如我們知道需要開啟80 端口，就可以加一行：

-A INPUT -p tcp -m state --state NEW -m tcp--dport 80 -j ACCEPT

在Linux 系統的/etc/services 文件中，列出了常用服務所使用的端口號，我們可以對照查看，那么對于不是很常見的端口號，我們該如何來準確的開啟，下面還有兩個心得。

圖1 使用netstat 命令查看rsyslog 服務端口號

圖2 查看其使用了TCP 和UDP 協議

比如我們在Linux 服務器中安裝了MySQL 數據庫，然后需要通過客戶端連接到這個MySQL 數據庫上，

這時在客戶端軟件上就可以看到在需要使用3306端口號進行訪問，這時候就可以在iptables 文件里面添加一個3306 的端口號，使用的是TCP 協議，一般網絡程序大多數使用的TCP 協議：

-A INPUT -p tcp -m state --state NEW -m tcp--dport 3306 -j ACCEPT

但是也有一些使用的是UDP 端口，如下所示。

比如我們在這臺Linux服務器上運行了rsyslog服務，用來記錄網絡中各臺交換機的日志信息，那么rsyslog 服務具體是使用的什么端口號呢，就可以使用netstat 命令來查看，如圖1所示。

從第二行中就可以看到，rsyslog 使用是UDP 的514 端口，要想開放這個服務，就可在iptables 里面這樣寫：

當然有些可能既使用了TCP 協議又使用了UDP 協議，比如zabbix，通過netstat 命令查看，就會發現它同時使用了TCP 和UDP 協議，如圖2 所示。

如果要提供zabbix 服務，就需要在Iptables 配置文件添加如下兩行：

通過在Linux 系統中開啟防火墻可有效提升系統安全性，而且開啟防火墻并不會影響系統的正常服務。以上是我們實際操作過程中總結的心得，供大家參考。