Управление сетевой безопасностью очень важно при запуске приложений или сервисов на сервере Linux, особенно на такой высокопроизводительной платформе, как ava.hosting. Firewalld, динамический инструмент управления брандмауэром, используемый в таких дистрибутивах, как CentOS, RHEL и Fedora, предлагает мощный контроль с помощью функции богатых правил. Богатые правила позволяют использовать точные и подробные политики для защиты вашего сервера, выходящие далеко за рамки базовых настроек брандмауэра. Например, вы можете использовать богатые правила, чтобы разрешить доступ к SSH на сервере ava.hosting только с IP-адреса вашего офиса, защитив его от несанкционированного доступа. В этом руководстве рассматриваются подробные правила Firewalld, способы их применения и лучшие практики для защиты вашей среды ava.hosting.

Что такое богатые правила в Firewalld?

Богатые правила – это расширенный метод определения политик брандмауэра, предлагающий дополнительные возможности фильтрации, такие как

  • Указание адресов источника и назначения
  • Разрешение или отклонение трафика на основе протоколов или портов
  • Определение правил протоколирования и аудита
  • Установка ограничений скорости и действий для определенных соединений

Богатые правила позволяют администраторам создавать более тонкие политики безопасности, чем базовые правила, основанные на зонах и службах

Проверка существующих насыщенных правил

Чтобы проверить, настроены ли какие-либо правила, выполните следующую команду:

firewall-cmd --list-rich-rules

Это отобразит все правила, которые в данный момент активны в брандмауэре

Добавление правила

Чтобы добавить новое правило, используйте следующий синтаксис:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Это правило разрешает SSH трафик с определенного IP адреса (192.168.1.100). После добавления правила перезагрузите Firewalld для применения изменений:

firewall-cmd --reload

Блокирование трафика с помощью правила

Чтобы заблокировать трафик с определенного IP-адреса, используйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.200" drop'

Это правило будет молча отбрасывать весь трафик с адреса 192.168.1.200 без отправки ответа

Разрешение трафика для определенного порта и протокола

Чтобы разрешить трафик для определенного порта и протокола, например HTTP на порту 80:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

Это правило разрешает HTTP-трафик с любого устройства в пределах подсети 192.168.1.0/24

Регистрация и аудит трафика

Для регистрации отброшенных пакетов в целях мониторинга используйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'

Это правило отбрасывает трафик с адреса 192.168.1.150 и записывает его в журнал с префиксом [FIREWALL-DROP]

Удаление насыщенного правила

Чтобы удалить конкретное правило, используйте команду:

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Затем перезагрузите Firewalld:

firewall-cmd --reload

Лучшие практики управления насыщенными правилами

  • Всегда тестируйте новые правила брандмауэра, прежде чем применять их на постоянной основе.
  • Используйте правила протоколирования для мониторинга и анализа заблокированного трафика.
  • Регулярно пересматривайте правила брандмауэра для обеспечения соответствия требованиям безопасности.
  • Ограничьте доступ к критическим службам по IP-адресам или подсетям.

Заключение

Богатый набор правил Firewalld обеспечивает беспрецедентную гибкость для защиты сетевого трафика на вашем Linux-сервере, что делает его незаменимым для администраторов. Ограничиваете ли вы SSH одним IP-адресом, разрешаете ли HTTP для доверенной подсети или регистрируете попытки несанкционированного доступа – богатые правила позволят вам разработать точные политики безопасности. Например, вы можете заблокировать вредоносный IP-адрес для защиты приложения ava.hosting-hosted или регистрировать трафик для устранения проблем с подключением. Освоив богатые правила и используя надежную инфраструктуру ava.hosting, вы сможете обеспечить безопасность, эффективность и устойчивость вашего сервера к угрозам.

Более того, насыщенные правила позволяют осуществлять тонкий контроль, выходящий далеко за рамки базового управления портами, и дают возможность динамически реагировать на меняющиеся сценарии безопасности. Они легко интегрируются в сложные среды, позволяя администраторам определять правила на основе служб, интерфейсов, приоритетов и даже атрибутов пакетов. При правильной стратегии конфигурирования вы сможете создать политику усиленного брандмауэра, которая не только укрепит безопасность вашего сервера, но и оптимизирует производительность и снизит ненужные накладные расходы.