Защита сервера Linux с помощью богатых правил Firewalld

Управление сетевой безопасностью очень важно при запуске приложений или сервисов на сервере Linux, особенно на такой высокопроизводительной платформе, как ava.hosting. Firewalld, инструмент динамического управления брандмауэром, используемый в таких дистрибутивах, как CentOS, RHEL и Fedora, предлагает мощный контроль благодаря функции богатых правил. Богатые правила позволяют использовать точные и подробные политики для защиты вашего сервера, выходящие далеко за рамки базовых настроек брандмауэра. Например, вы можете использовать богатые правила, чтобы разрешить доступ к SSH на сервере ava.hosting только с IP-адреса вашего офиса, защитив его от несанкционированного доступа. В этом руководстве рассматриваются подробные правила Firewalld, способы их применения и лучшие практики для защиты вашей среды ava.hosting.

Что такое богатые правила в Firewalld?

Богатые правила – это расширенный метод определения политик брандмауэра, предлагающий дополнительные возможности фильтрации, такие как:

  • Указание адресов источника и назначения
  • Разрешение или отклонение трафика на основе протоколов или портов
  • Определение правил протоколирования и аудита
  • Установка ограничений скорости и действий для определенных соединений

Расширенные правила позволяют администраторам создавать тонкие политики безопасности, выходящие за рамки базовых правил, основанных на зонах и службах.

Проверка существующих правил

Чтобы проверить, настроены ли в настоящее время какие-либо правила, выполните следующую команду:

firewall-cmd --list-rich-rules

Это отобразит все правила, которые в настоящее время активны в брандмауэре.

Добавление правила

Чтобы добавить новое правило, используйте следующий синтаксис:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Это правило разрешает SSH-трафик с определенного IP-адреса (192.168.1.100).

После добавления правила перезагрузите Firewalld, чтобы применить изменения:

firewall-cmd --reload

Блокирование трафика с помощью правила

Чтобы заблокировать трафик с определенного IP-адреса, используйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.200" drop'

Это правило будет молча отбрасывать весь трафик с адреса 192.168.1.200 без отправки ответа.

Разрешение трафика для определенного порта и протокола

Чтобы разрешить трафик для определенного порта и протокола, например HTTP на порту 80:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

Это правило разрешает HTTP-трафик с любого устройства в пределах подсети 192.168.1.0/24.

Регистрация и аудит трафика

Чтобы регистрировать отброшенные пакеты для целей мониторинга, используйте:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'

Это правило отбрасывает трафик с адреса 192.168.1.150 и записывает его в журнал с префиксом [FIREWALL-DROP].

Удаление богатого правила

Чтобы удалить конкретное правило, используйте:

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Затем перезагрузите Firewalld:

firewall-cmd --reload

Лучшие практики управления насыщенными правилами

  • Всегда тестируйте новые правила брандмауэра, прежде чем применять их на постоянной основе.
  • Используйте правила протоколирования для мониторинга и анализа заблокированного трафика.
  • Регулярно пересматривайте правила брандмауэра для обеспечения соответствия требованиям безопасности.
  • Ограничьте доступ к критическим службам по IP-адресам или подсетям.

Заключение

Богатые правила Firewalld обеспечивают беспрецедентную гибкость при защите сетевого трафика на вашем Linux-сервере, что делает их обязательным атрибутом для администраторов. Ограничиваете ли вы SSH одним IP-адресом, разрешаете ли HTTP для доверенной подсети или регистрируете попытки несанкционированного доступа – богатые правила позволят вам разработать точные политики безопасности. Например, вы можете заблокировать вредоносный IP-адрес для защиты приложения ava.hosting-hosted или регистрировать трафик для устранения проблем с подключением. Освоив богатые правила и используя надежную инфраструктуру ava.hosting, вы сможете обеспечить безопасность, эффективность и устойчивость вашего сервера к угрозам.