1 软件防火墙的基本概念

防火墙是计算机网络中用于保护网络安全的关键技术。防火墙可以是硬件设备部署在网络出口,也可以是软件部署在终端设备出口。本文主要介绍软件防火墙。

软件防火墙可以根据网络流量的方向(进/出),以及报文中的源IP地址、目的地址、协议、源端口和目的端口等字段信息进行匹配,并采取相应的处理动作(接受、拒绝或丢弃)。

通过设置防火墙规则,可以限制或允许特定的网络流量进入或离开网络。例如,可以设置规则以允许特定IP地址或端口的合法传输,而拒绝来自未知或不信任来源的通信。这样可以有效地保护网络免受未经授权的访问、恶意攻击或不良内容的侵扰。

软件防火墙的优势在于它可以部署在各个终端设备上,为每个设备提供独立的保护。同时,软件防火墙可以随着网络环境的变化进行灵活调整和更新,以适应不断演变的安全威胁。

总之,软件防火墙是一种重要的网络安全技术,它通过匹配网络流量的特征信息并采取相应的处理动作,有效地保护计算机网络免受潜在的安全威胁。

1.1 防火墙方向(IN和OUT):

IN(进)方向指的是数据从外部网络流入到内部网络,也称为入站流量。

OUT(出)方向指的是数据从内部网络流出到外部网络,也称为出站流量。

若有多个网络接口,每个接口防火墙均可设置独立的规则,可以实现根据数据流的方向来进行处理和控制,以限制或允许特定的流量进出网络。

1.2 原IP地址(Source IP)和目的地址(Destination IP):

原IP地址(Source IP)是指发送数据的源IP地址,用于标识数据的来源。

目的地址(Destination IP)是指接收数据的目标IP地址,用于标识数据的去向。 防火墙可以基于源IP地址和目的IP地址来判断数据流的合法性,例如允许或拦截特定的IP地址。

1.3 协议(Protocol):

防火墙可以根据协议类型来进行处理和控制,常见的有协议TCP、UDP、ICMP、IGMP、GGP等。

1.4 源端口(Source Port)和目的端口(Destination Port):

通常在传输层协议TCP和UDP中才具有端口号。

源端口(Source Port)是指发送数据的源端口号,用于标识数据的来源应用或服务。

目的端口(Destination Port)是指接收数据的目标端口号,用于标识数据的去向应用或服务。 防火墙可以根据源端口和目的端口来限制或允许特定的应用或服务通信。

1.5 三种处理动作(ACCEPT、REJECT、DROP):

接受(ACCEPT)表示防火墙允许通过匹配的数据流进入或离开网络。

拒绝(REJECT)表示防火墙明确告知发送方数据流被拒绝,并发送错误消息给发送方。

丢弃(DROP)表示防火墙默默地丢弃匹配的数据流,不发送任何错误消息。 防火墙可以根据配置规则对数据流采取不同的处理动作,用于控制网络流量的通过或拒绝。

2 防火墙策略设计

为了安全考虑,对外端口越少越好,但是又要方便管理员管理。比如某内网DNS服务器,开发DNS、SSH等服务,部署在内网10.0.0.1/8中,只对内网网段开放UDP:53端口和ICMP回显,对管理员网段10.254.254.0/24则不做限制,其策略如下表。

表 1 防火墙策略

方向

源IP

目的IP

协议

源端口

目的端口

动作

备注

IN

10.0.0.0/8

ALL

UDP

ALL

53

ACCEPT

对内网开放DNS服务

IN

10.0.0.0/8

ALL

ICMP

-

-

ACCEPT

对内网开放ICMP协议

IN

10.254.254.0/24

ALL

ALL

ALL

ALL

ACCEPT

对管理员IP不做限制

OUT

ALL

ALL

ALL

ALL

ALL

ACCEPT

默认出接口策略不限制

IN

ALL

ALL

ALL

ALL

ALL

DROP

默认进接口

3 PVE防火墙

Proxmox VE虚拟平台自带一个pve-firewall.service服务,只需要在WEB后台中进行简单的设置,就可以对流量。后续将Proxmox VE,简称为PVE。

3.1 防火墙开启

在PVE中,支持为所有的集群、节点、虚拟机设置防火墙,但是防火墙默认情况下是关闭的状态。在开启之前请注意先开发自己所使用的IP,否则可能无法进入PVE WEB后台。

3.1.1 集群设置防火墙

图 1 集群设置防火墙

3.1.2 节点设置防火墙

图 2节点设置防火墙

3.1.3 虚拟机、容器设置防火墙

图 3 虚拟机、容器设置防火墙

如果是LXC容器,需要额外在网卡中开启防火墙,否则将不生效。

图 4 如果是LXC容器 需要开启网络卡防火墙

3.2 地址池IPSet

PVE防火墙策略中源IP、目的IP可以直接写IP地址和网段,也可以使用IPSet定义地址池,通常直接定义地址池,若后续需要修改策略IP地址,可以修改直接在IPSet中修改,或者是因为不同网段需要写两条策略的尴尬情况。

图 5 IPSet地址池

3.3 防火墙默认策略

通常防火墙的默认策略为IN方向进行DROP;OUT方向ACCEPT。

图 6 防火墙默认策略

3.4 添加策略

依据方向、IP地址、端口、协议,可以完成配置

图 7 添加防火墙策略

图 8 依据具体情况填写

Proxmox VE软件防火墙的配置的更多相关文章

  1. pfSense软件防火墙安装配置

    一,说明 1.1 pfSense是什么 pfSense是基于FreeBSD的.开源中最为可靠(World's Most Trusted Open Source Firewall)的.可与商业级防火墙一 ...

  2. PfSense基于BSD的软件防火墙的安装、配置与应用

    PfSense基于BSD的软件防火墙的安装.配置与应用 PfSense是一个FreeBSD下的免费开源的防火墙和路由器软件,他为了在X86平台上面建立一个高集成性的防火墙项目,下面就为大家展示如何配置 ...

  3. Linux ftp软件安装、配置和启动

    ftp软件安装.配置和启动及相关问题的解决在测试环境使用过程中经常使用.本文以SuSE11sp1上vsftpd的安装过程进行介绍. 测试环境 SuSE11sp1 vsftp软件安装检查 1.rpm - ...

  4. wim2008 让FTP防火墙可用性配置

    转: Win2003和Win2008防火墙导致FTP服务器不能访问的解决方法 这篇文章主要介绍了Win2003和Win2008防火墙导致FTP服务器不能访问的解决方法,需要的朋友可以参考下 由于通过远 ...

  5. CentOS 7 防火墙端口配置

    CentOS 7 防火墙端口配置查看防火墙是否开启systemctl status firewalld 若没有开启则开启systemctl start firewalld 查看所有开启的端口firew ...

  6. (转)Linux-HA开源软件Heartbeat(配置篇)

    原文:http://ixdba.blog.51cto.com/2895551/548625 http://gzsamlee.blog.51cto.com/9976612/1828870 Linux-H ...

  7. Centos防火墙的配置

    Selinux的三种模式:enforcing,passive,disable 临时更改模式:setengorce 1|0        1:enforcing,   0:passive [root@C ...

  8. CentOS 6.9下的Setup工具(用于管理服务/防火墙/网络配置/验证服务)

    说明:Setup工具套件好像是CentOS下特有的用于管理服务/防火墙/网络配置等,其实就是基于命令行模式界面的GUI工具.唯一特点就是方便. 安装: #安装Setup命令工具 yum -y inst ...

  9. Linux 的软件管理及配置 - 安装、卸载、升级、依赖

    1. 对比:Windows 和 Linux 上软件的安装与卸载 大部分 Linux 使用者都是从 Windows 转过来的,先对这俩做个对比,有助理解. 就像在 Windows 下,很多软件也有安装版 ...

  10. m0n0防火墙安装配置方法

    m0n0防火墙安装配置方法 准备工具: vmware虚拟机 m0n0防火墙安装镜像:M0n0Wall - generic-pc-1.8.1.iso 桥接网卡ip:192.168.43.0/24 hos ...

随机推荐

  1. 【Docker】容器管理

    一.容器生命周期及启动过程 1.容器生命周期 2.容器启动过程 二.容器管理命令 Usage: docker [OPTIONS] COMMAND A self-sufficient runtime f ...

  2. 聊一聊 dotnet-trace 调查 lock锁竞争

    一:背景 1. 讲故事 最近在分析一个 linux 上的 dump,最后的诱因是大量的lock锁诱发的高频上下文切换,虽然问题告一段落,但我还想知道一点信息,所谓的高频到底有多高频?锁竞争到底是一个怎 ...

  3. 数据结构与算法大作业:走迷宫程序(C语言,DFS)(代码以及思路)

    好家伙,写大作业,本篇为代码的思路讲解   1.大作业要求 走迷宫程序 问题描述: 以一个 m * n 的长方阵表示迷宫, 0和1分别表示迷宫的通路和障碍. 设计一个程序, 对任意设定的迷宫, 求出一 ...

  4. 2023-03-20:给定一个无向图,保证所有节点连成一棵树,没有环, 给定一个正数n为节点数,所以节点编号为0~n-1,那么就一定有n-1条边, 每条边形式为{a, b, w},意思是a和b之间的无

    2023-03-20:给定一个无向图,保证所有节点连成一棵树,没有环, 给定一个正数n为节点数,所以节点编号为0~n-1,那么就一定有n-1条边, 每条边形式为{a, b, w},意思是a和b之间的无 ...

  5. 2022-11-18:给定一个数组arr,表示连续n天的股价,数组下标表示第几天 指标X:任意两天的股价之和 - 此两天间隔的天数 比如 第3天,价格是10 第9天,价格是30 那么第3天和第9天的指

    2022-11-18:给定一个数组arr,表示连续n天的股价,数组下标表示第几天 指标X:任意两天的股价之和 - 此两天间隔的天数 比如 第3天,价格是10 第9天,价格是30 那么第3天和第9天的指 ...

  6. 2021-06-25:只由小写字母(a~z)组成的一批字符串,都放在字符类型的数组String[] arr中,如果其中某两个字符串所含有的字符种类完全一样,就将两个字符串算作一类,比如:baacbba

    2021-06-25:只由小写字母(a~z)组成的一批字符串,都放在字符类型的数组String[] arr中,如果其中某两个字符串所含有的字符种类完全一样,就将两个字符串算作一类,比如:baacbba ...

  7. 树莓派上使用docker部署aria2,minidlna

    目前在树莓派上安装aria2跟minidlna能搜到的教程基本上都是直接apt-get install安装的.现在是docker的时代了,其实这2个东西可以直接使用docker run跑起来.有什么问 ...

  8. 用Linux命令操作mysql数据库

    操作mysql数据库,相信大家最熟悉的应该是用navicat工具来新建数据库,建表,查询数据,查看表结构等. 但是如果数据库与本操作机器不在同一个局域网内,并且对方环境也不支持vpn的情况下,如何查询 ...

  9. linux DNS域名解析

    目录 一.DNS概念 二.域名格式类型 三.查询类型 四.解析类型 五.配置DNS 六.dns解析实验 1.配置正向解析 2.反向解析 3.主从解析 一.DNS概念 概念:域名和IP地址的相互映射的分 ...

  10. 图解三代测序(SMRT Sequencing)

    目前主流三代测序平台除了Oxford 家的 Nanopore,还有 Pacific Biosciences(简称 PacBio)公司的 Single Molecule Real-Time(SMRT)S ...