1 软件防火墙的基本概念

防火墙是计算机网络中用于保护网络安全的关键技术。防火墙可以是硬件设备部署在网络出口,也可以是软件部署在终端设备出口。本文主要介绍软件防火墙。

软件防火墙可以根据网络流量的方向(进/出),以及报文中的源IP地址、目的地址、协议、源端口和目的端口等字段信息进行匹配,并采取相应的处理动作(接受、拒绝或丢弃)。

通过设置防火墙规则,可以限制或允许特定的网络流量进入或离开网络。例如,可以设置规则以允许特定IP地址或端口的合法传输,而拒绝来自未知或不信任来源的通信。这样可以有效地保护网络免受未经授权的访问、恶意攻击或不良内容的侵扰。

软件防火墙的优势在于它可以部署在各个终端设备上,为每个设备提供独立的保护。同时,软件防火墙可以随着网络环境的变化进行灵活调整和更新,以适应不断演变的安全威胁。

总之,软件防火墙是一种重要的网络安全技术,它通过匹配网络流量的特征信息并采取相应的处理动作,有效地保护计算机网络免受潜在的安全威胁。

1.1 防火墙方向(IN和OUT):

IN(进)方向指的是数据从外部网络流入到内部网络,也称为入站流量。

OUT(出)方向指的是数据从内部网络流出到外部网络,也称为出站流量。

若有多个网络接口,每个接口防火墙均可设置独立的规则,可以实现根据数据流的方向来进行处理和控制,以限制或允许特定的流量进出网络。

1.2 原IP地址(Source IP)和目的地址(Destination IP):

原IP地址(Source IP)是指发送数据的源IP地址,用于标识数据的来源。

目的地址(Destination IP)是指接收数据的目标IP地址,用于标识数据的去向。 防火墙可以基于源IP地址和目的IP地址来判断数据流的合法性,例如允许或拦截特定的IP地址。

1.3 协议(Protocol):

防火墙可以根据协议类型来进行处理和控制,常见的有协议TCP、UDP、ICMP、IGMP、GGP等。

1.4 源端口(Source Port)和目的端口(Destination Port):

通常在传输层协议TCP和UDP中才具有端口号。

源端口(Source Port)是指发送数据的源端口号,用于标识数据的来源应用或服务。

目的端口(Destination Port)是指接收数据的目标端口号,用于标识数据的去向应用或服务。 防火墙可以根据源端口和目的端口来限制或允许特定的应用或服务通信。

1.5 三种处理动作(ACCEPT、REJECT、DROP):

接受(ACCEPT)表示防火墙允许通过匹配的数据流进入或离开网络。

拒绝(REJECT)表示防火墙明确告知发送方数据流被拒绝,并发送错误消息给发送方。

丢弃(DROP)表示防火墙默默地丢弃匹配的数据流,不发送任何错误消息。 防火墙可以根据配置规则对数据流采取不同的处理动作,用于控制网络流量的通过或拒绝。

2 防火墙策略设计

为了安全考虑,对外端口越少越好,但是又要方便管理员管理。比如某内网DNS服务器,开发DNS、SSH等服务,部署在内网10.0.0.1/8中,只对内网网段开放UDP:53端口和ICMP回显,对管理员网段10.254.254.0/24则不做限制,其策略如下表。

表 1 防火墙策略

方向

源IP

目的IP

协议

源端口

目的端口

动作

备注

IN

10.0.0.0/8

ALL

UDP

ALL

53

ACCEPT

对内网开放DNS服务

IN

10.0.0.0/8

ALL

ICMP

-

-

ACCEPT

对内网开放ICMP协议

IN

10.254.254.0/24

ALL

ALL

ALL

ALL

ACCEPT

对管理员IP不做限制

OUT

ALL

ALL

ALL

ALL

ALL

ACCEPT

默认出接口策略不限制

IN

ALL

ALL

ALL

ALL

ALL

DROP

默认进接口

3 PVE防火墙

Proxmox VE虚拟平台自带一个pve-firewall.service服务,只需要在WEB后台中进行简单的设置,就可以对流量。后续将Proxmox VE,简称为PVE。

3.1 防火墙开启

在PVE中,支持为所有的集群、节点、虚拟机设置防火墙,但是防火墙默认情况下是关闭的状态。在开启之前请注意先开发自己所使用的IP,否则可能无法进入PVE WEB后台。

3.1.1 集群设置防火墙

图 1 集群设置防火墙

3.1.2 节点设置防火墙

图 2节点设置防火墙

3.1.3 虚拟机、容器设置防火墙

图 3 虚拟机、容器设置防火墙

如果是LXC容器,需要额外在网卡中开启防火墙,否则将不生效。

图 4 如果是LXC容器 需要开启网络卡防火墙

3.2 地址池IPSet

PVE防火墙策略中源IP、目的IP可以直接写IP地址和网段,也可以使用IPSet定义地址池,通常直接定义地址池,若后续需要修改策略IP地址,可以修改直接在IPSet中修改,或者是因为不同网段需要写两条策略的尴尬情况。

图 5 IPSet地址池

3.3 防火墙默认策略

通常防火墙的默认策略为IN方向进行DROP;OUT方向ACCEPT。

图 6 防火墙默认策略

3.4 添加策略

依据方向、IP地址、端口、协议,可以完成配置

图 7 添加防火墙策略

图 8 依据具体情况填写

Proxmox VE软件防火墙的配置的更多相关文章

  1. pfSense软件防火墙安装配置

    一,说明 1.1 pfSense是什么 pfSense是基于FreeBSD的.开源中最为可靠(World's Most Trusted Open Source Firewall)的.可与商业级防火墙一 ...

  2. PfSense基于BSD的软件防火墙的安装、配置与应用

    PfSense基于BSD的软件防火墙的安装.配置与应用 PfSense是一个FreeBSD下的免费开源的防火墙和路由器软件,他为了在X86平台上面建立一个高集成性的防火墙项目,下面就为大家展示如何配置 ...

  3. Linux ftp软件安装、配置和启动

    ftp软件安装.配置和启动及相关问题的解决在测试环境使用过程中经常使用.本文以SuSE11sp1上vsftpd的安装过程进行介绍. 测试环境 SuSE11sp1 vsftp软件安装检查 1.rpm - ...

  4. wim2008 让FTP防火墙可用性配置

    转: Win2003和Win2008防火墙导致FTP服务器不能访问的解决方法 这篇文章主要介绍了Win2003和Win2008防火墙导致FTP服务器不能访问的解决方法,需要的朋友可以参考下 由于通过远 ...

  5. CentOS 7 防火墙端口配置

    CentOS 7 防火墙端口配置查看防火墙是否开启systemctl status firewalld 若没有开启则开启systemctl start firewalld 查看所有开启的端口firew ...

  6. (转)Linux-HA开源软件Heartbeat(配置篇)

    原文:http://ixdba.blog.51cto.com/2895551/548625 http://gzsamlee.blog.51cto.com/9976612/1828870 Linux-H ...

  7. Centos防火墙的配置

    Selinux的三种模式:enforcing,passive,disable 临时更改模式:setengorce 1|0        1:enforcing,   0:passive [root@C ...

  8. CentOS 6.9下的Setup工具(用于管理服务/防火墙/网络配置/验证服务)

    说明:Setup工具套件好像是CentOS下特有的用于管理服务/防火墙/网络配置等,其实就是基于命令行模式界面的GUI工具.唯一特点就是方便. 安装: #安装Setup命令工具 yum -y inst ...

  9. Linux 的软件管理及配置 - 安装、卸载、升级、依赖

    1. 对比:Windows 和 Linux 上软件的安装与卸载 大部分 Linux 使用者都是从 Windows 转过来的,先对这俩做个对比,有助理解. 就像在 Windows 下,很多软件也有安装版 ...

  10. m0n0防火墙安装配置方法

    m0n0防火墙安装配置方法 准备工具: vmware虚拟机 m0n0防火墙安装镜像:M0n0Wall - generic-pc-1.8.1.iso 桥接网卡ip:192.168.43.0/24 hos ...

随机推荐

  1. 2022-12-13:游戏玩法分析 I。写一条 SQL 查询语句获取每位玩家 第一次登陆平台的日期。 +-----------+-------------+ | player_id | first_l

    2022-12-13:游戏玩法分析 I.写一条 SQL 查询语句获取每位玩家 第一次登陆平台的日期. ±----------±------------+ | player_id | first_log ...

  2. 2022-12-09:上升的温度。以下的数据输出2和4,2015-01-02 的温度比前一天高(10 -> 25),2015-01-04 的温度比前一天高(20 -> 30),sql语句如何写? DR

    2022-12-09:上升的温度.以下的数据输出2和4,2015-01-02 的温度比前一天高(10 -> 25),2015-01-04 的温度比前一天高(20 -> 30),sql语句如 ...

  3. Kerberos协议原理

    本文主要介绍Kerberos认证协议的原理以及解决了什么问题 Kerberos是什么 Kerberos是计算机网络世界中的一种身份认证协议. 身份认证是我们日常生活中经常进行的活动,比如我们要去银行取 ...

  4. phpstudy-sqlilabs-less-14

    题目:POST - Double Injection - Single quotes- String - with twist 和上关一模一样 uname=1"or 1=1 #&pa ...

  5. WPF入门实例 WPF完整例子 WPF DEMO WPF学习完整例子 WPF实战例子 WPF sql实例应用 WPF资料源码

    WPF 和 WinForms 都是用于创建 Windows 桌面应用程序的开发框架,它们有一些相似之处,但也有很多不同之处. 在开发速度方面,这取决于具体情况.如果您熟悉 WinForms 开发并且正 ...

  6. odoo开发教程十一:视图综述

    一:视图标签等公共结构 name (必选) 用于通过名字查找标签 model: 与view相关联的model priority 当搜索查找view时,优先级最低的view会被返回 arch 视图lay ...

  7. Hadoop的核心配置文件

    1. core-site.xml:该配置文件包含了Hadoop通用配置,例如Hadoop的文件系统和I/O设置.Hadoop日志目录.Hadoop缓存设置等. 2. hdfs-site.xml:该配置 ...

  8. 原生AJAX的学习

    基础知识 知识点梳理见图: 自己动手实践案例 案例1: 访问本地文件 <!DOCTYPE html> <html> <body> <div id=" ...

  9. Python进行大文件的备份

    Python进行大文件的备份的思路:每次仅从原文件中读取指定字符的内容后写入新文件,然后循环操作. def copy_big_file(): # 接收用户输入的文件名 old_file = input ...

  10. 【AGC】Connect API报错submit failed的相关问题

    ​[关键字] AGC.Connect API.Publishing API [问题描述] 开发者反馈在使用AGC的Connect API提交发布时,报出了[cds]submit failed, add ...