CentOS7 自带防火墙加固体系，只允许白名单IP地点访问服务器22端口 ...

一、配景

一样平常的运维人员，一拿到服务器，首先就是关闭本机防火墙，这样的做法在有硬件防火墙控制的条件下是可以的，但是如果没有硬件防火墙，不建议将linux操纵体系本机防火墙关闭，而且应该遵循默认全部不通的原则，什么业务必要访问，再通过防火墙规则放通，确保服务器的安全。
二、代码安排

来，上代码

1. # 启动防火墙
2. systemctl start firewalld
3. # 查看防火墙状态
4. systemctl status firewalld
5. # 设置防火墙开机自启
6. systemctl enable firewalld
7. # 查看firewalld默认规则列表
8. firewall-cmd --list-all
9. # 增加防火墙规则，只允许白名单IP（192.168.0.100）访问服务器的22端口
10. # 注意：这一步一定要将白名单IP设置好了，不然这一部操作完后，不在白名单的服务器就不能ssh登录了。
11. firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.100" port protocol="tcp" port="22" accept' --permanent
12. # 移除防火墙默认规则中的ssh登录默认规则
13. firewall-cmd --zone=public --remove-service=ssh --permanent
14. # 如果想回退，则把remove修改为add或者把add修改为remove
15. # 增加所有IP可以访问服务器ssh服务（22端口）
16. firewall-cmd --zone=public --add-service=ssh --permanent
17. # 重新加载防火墙配置
18. firewall-cmd --reload

复制代码

三、我的生产实践

linux自带防护墙默认配置为所有呆板都可以访问ssh服务。

安全加固
通过以下命令即可完成安全加固，只允许白名单内的IP地点可以访问服务器的22端口

1. # 只允许192.168.0.1访问服务器的22端口
2. firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.1" port protocol="tcp" port="22" accept' --permanent
4. # 只允许192.168.0.2访问服务器的22端口
5. firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.2" port protocol="tcp" port="22" accept' --permanent
7. # 只允许192.168.1.0/24访问服务器的22端口
8. firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept' --permanent
10. # 将防火墙默认配置所有IP地址都可以访问ssh服务规则删除
11. firewall-cmd --zone=public --remove-service=ssh --permanent
13. # 重新加载防火墙配置
14. firewall-cmd --reload
16. # 显示防火墙规则
17. firewall-cmd --list-all

复制代码

下图是最终完成加固后的防火墙规则。这个时候，就只有白名单的IP地点可以访问服务器的22端口，想要把其他端口放通，按照同样的方法设置即可。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告