主机防火墙与访问控制
防火墙有两种类型,一种是网络防火墙,主要部署在网络的出口处,另外就是主机防火墙,是运行在主机上的,主机防火墙可以阻止未授权用户通过网络访问计算机来保护您的计算机,Windows和Linux都有自带的防火墙。通过防火墙可以阻止大量的攻击。
|提示|:为降低来自网络的攻击风险,按照最小化原则,应关闭不需要的系统服务、默认共享和高危端口。
中标麒麟操作系统中,【控制面板】→【服务】,弹出【服务配置窗口】,可以看到大量的Linux服务,和windows service类似,很多系统服务都是本地使用的,如网络、日志、dns解析等。如下图:
对于终端而言,不像服务器那样提供对外的很多服务,但并不意味着什么服务都不提供,比如在局域网上的文件共享、打印共享、远程桌面服务等,这就需要开放部分端口,但是作为一项安全策略,开放的端口越少越好。中标麒麟系统中提供的服务及端口号可以通过命令“netstat -ntlp”查看。下图是中标麒麟桌面版中提供的服务,其中22是SSH服务,631是CUSP网络打印服务,445和139是用于samba服务,5900是VNC服务端口。
中标麒麟内置firewall-config图形化配置工具,配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等。从开始菜单→系统工具→防火墙,界面如图所示。点击“关闭(不推荐)”或 “启用(推荐)”时,关闭/启动防火墙服务有一定延时,该程序会弹出“正在关闭/启动服务,请等待 X秒”提示窗,计时结束,该窗口会自动消失。选择“启用(推荐)”,“高级设置”按钮高亮,点击“高级设置”按钮,弹出下图窗口。在高级设置界面中可对具体服务权限进行设置。
图中左边定义很多区域,基于用户对网络中设备和流量所给予的信任程度,防火墙可以用来将网络分割成不同的区域,可以理解为模板,一般每个网卡配置一个区域,默认区域为public,可根据终端所处的环境进行切换区域(模板)。
|
public(公共) |
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。 |
|
drop(丢弃) |
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。 |
|
block(限制) |
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。 |
|
external(外部)
|
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。 |
|
dmz(非军事区) |
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。 |
|
work(工作) |
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。 |
|
home(家庭) |
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。 |
|
internal(内部) |
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。 |
|
trusted(信任) |
可接受所有的网络连接。 |
在public模式下,可以看到,前面提到的22(SSH服务)、631(CUSP网络打印服务)、445和139(samba)、5900(VNC服务)端口是允许外部访问的,还有一些多余的端口如数据库缺省也是开放的,为了安全起见,可以关闭这些不必要的端口。修改防火墙规则一种是运行时模式:表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时将失效;第二种是永久模式:表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。永久配置修改后要从菜单栏【选项】→【重载防火墙】,当前永久配置将变成新的运行时配置。