一:firewalld防火墙配置
全量平台上为了避免跨网段进行数据源采集,最根治的方法是对底层代码进行修改,但修改代码的周期更长时效性更差。防火墙(作为阻塞点、控制点)可以极大地提高内部网络的安全性,并通过过滤不安全的服务来降低风险。本文我们采用centos7默认firewalld防火墙,不过底层调用的命令仍然是 iptables(centos6默认使用防火墙),因为这几种守护进程是冲突的,所以建议在配置之前禁用其他几种服务。
1:查看状态(这里以10.29.133.128(办公网段)为例)
#查看firewall服务状态
systemctl status firewalld
#查看firewall的状态
命令>firewall-cmd --state
2:启动firewalld-service服务
命令>service firewalld start
3:查看防火墙规则
命令>firewall-cmd --list-all
4:开放指定端口
#查看开放的端口
命令>firewall-cmd --zone=public --list-ports
#添加所有服务相对应的端口号
命令>firewall-cmd --zone=public --add-port=20103/tcp --permanent
...
...
# 参数解释
1、firwall-cmd:是Linux提供的操作firewall的一个工具;
2、--permanent:表示设置为持久;
3、--add-port:标识添加的端口;
#重新载入
命令>firewall-cmd --reload
#移除端口(这里不做操作)
命令>firewall-cmd --zone=public --remove-port=80/tcp --permanent
5:添加防火墙规则
#这里我们选择只接收办公网所有的网段(10.29.0.0/16、10.49.0.0/16;10.55.0.0/16三个网段)
命令>firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.29.0.0/16" accept"......
#重载使规则生效
#删除规则(这里不做操作)
命令>firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="10.29.0.0/16" accept"
6:测试ip
命令>telnet 10.32.130.18 1433
这里我们采用telnet ip 端口 的方式测试访问交易网的主机,这里不在防火墙规则内的主机不能够被访问,在防火墙规则内的网段地址是能够进行访问的。这也避免了我们不希望的网段地址对本机进行访问。
二:iptables防火墙配置
待完善...
