Linux系统管理基础项目教程课件 V8-4 配置firewalld防火墙规则

Linux操作系统防火墙配置与管理项目实训【实训任务】本实训的主要任务是使用Linux防火墙和SELinux规则来控制与服务的网络连接，通过设置防火墙规则来接受或拒绝与系统服务的网络连接，通过管理SELinux端口标签来控制网络服务是否可以使用特定的网络端口。【实训目的】（1）理解Linux防火墙和firewalld防火墙服务的基本概念。（2）掌握管理firewalld防火墙的方法。（3）掌握管理SELinux端口标签的方法；掌握管理SELinux上下文的方法。【实训内容】（1）将firewalld的默认区域设置为public。（2）将firewalld防火墙服务中eno16777736网卡的默认区域修改为external。（3）将firewalld防火墙服务中HTTPS服务的请求流量设置为永久允许。（4）将firewalld防火墙服务中8899/TCP端口的请求流量设置为允许放行。（5）设置SELinux规则，允许HTTP服务监听端口8090/TCP。【实训环境】在进行本项目的实训操作前，提前准备好Linux操作系统环境，CentOSStream、RHEL、RockyLinux、华为openEuler、麒麟等常见Linux发行版操作系统中都可以进行项目实训。Linux操作系统配置firewalld防火墙规则配置firewalld防火墙规则（1）查询系统当前防火墙信息。[root@server～]##firewall-cmd--get-zonesblockdmzdropexternalhomeinternalpublictrustedwork（2）查询预定义firewalld服务。（3）查看系统存在的防火墙区域。[root@server～]#firewall-cmd--list-all[root@server～]#firewall-cmd--get-services（4）查看firewalld服务当前所使用的区域。[root@server～]#firewall-cmd--get-default-zonepublic（5）将firewalld防火墙服务的当前默认区域设置为public。[root@server～]#firewall-cmd--set-default-zone=publicsuccess[root@server～]#firewall-cmd--get-default-zonepublic[root@server～]#firewall-cmd--get-active-zonespublicinterfaces:eno16777736配置firewalld防火墙规则（6）查询eno16777728网卡在firewalld服务中的区域。（7）将firewalld防火墙服务中eno16777736网卡的默认区域修改为external。[root@server～]#firewall-cmd--get-zone-of-interface=eno16777728public[root@server～]#firewall-cmd--permanent--zone=external--change-interface=eno16777736TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@server～]#firewall-cmd--get-zone-of-interface=eno16777736external[root@server～]#firewall-cmd--zone=public--query-service=sshyes[root@server～]#firewall-cmd--zone=public--query-service=httpsno（8）查询在public区域中的SSH与HTTPS服务请求是否被允许通过。配置firewalld防火墙规则（10）将firewalld防火墙服务中8899/TCP端口的请求流量设置为允许通过。[root@server～]#firewall-cmd--zone=public--permanent--add-port=8899/tcp[root@server～]#firewall-cmd--list-ports8899/tcp（9）将firewalld防火墙服务中HTTPS服务的请求流量设置为永久允许。[root@server～]#firewall-cmd