江苏龙网

  1. 主页 > 生活 > >

防火墙软件名称及网址 电脑防火墙软件哪个好( 二 )


$ sudo firewall-cmd --zone work --list-allwork target: default icmp-block-inversion: no interfaces: sources: services: ssh dhcpv6-client ports: protocols: [...] 在这个例子中,work 区域的配置是允许接收 SSH 和 DHCPv6-client 的流量,但是拒绝接收其他任何用户没有明确请求的流量 。(换句话说,work 区域并不会在你浏览网站的时候拦截 HTTP 响应流量,但是 会 拦截一个针对你计算机上 80 端口的 HTTP 请求 。)
你可以依次查看每一个区域,弄清楚它们分别都允许什么样的流量 。比较常见的有:

  • work:这个区域应该在你非常信任的 *** 上使用 。它允许 SSH、DHCPv6 和 mDNS,并且还可以添加更多允许的项目 。该区域非常适合作为一个基础配置,然后在此之上根据日常办公的需求自定义一个工作环境 。
  • public: 用在你不信任的 *** 上 。这个区域的配置和工作区域是一样的,但是你不应该再继续添加其它任何允许项目 。
  • drop: 所有传入连接都会被丢弃,并且不会有任何响应 。在不彻底关闭 *** 的条件下,这已经是最接近隐形模式的配置了,因为只允许传出 *** 连接(不过随便一个端口扫描器就可以通过传出流量检测到你的计算机,所以这个区域并不是一个隐形装置) 。如果你在使用公共 WiFi,这个区域可以说是最安全的选择;如果你觉得当前的 *** 比较危险,这个区域也一定是更好的选择 。
  • block: 所有传入连接都会被拒绝,但是会返回一个消息说明所请求的端口被禁用了 。只有你主动发起的 *** 连接是被允许的 。这是一个友好版的 drop 区域,因为虽然还是没有任何一个端口允许传入流量,但是说明了会拒绝接收任何不是本机主动发起的连接 。
  • home: 在你信任 *** 里的其它计算机的情况下使用这个区域 。该区域只会允许你所选择的传入连接,但是你可以根据需求添加更多的允许项目 。
  • internal: 和工作区域类似,该区域适用于内部 ***,你应该在基本信任 *** 里的计算机的情况下使用 。你可以根据需求开放更多的端口和服务,同时保持和工作区域不同的一套规则 。
  • trusted: 接受所有的 *** 连接 。适合在故障排除的情况下或者是在你绝对信任的 *** 上使用 。
为 *** 指定一个区域 你可以为你的任何一个 *** 连接都指定一个区域,并且对于同一个 *** 的不同连接方式(比如以太网、WiFi 等等)也可以指定不同的区域 。
选择你想要的区域,点击“保存”按钮提交修改 。
Setting a new zone
养成为 *** 连接指定区域的习惯的更好办法是从你最常用的 *** 开始 。为你的家庭 *** 指定家庭区域,为工作 *** 指定工作区域,为你最喜欢的图书馆或者咖啡馆的 *** 指定公关区域 。
一旦你为所有常用的 *** 都指定了一个区域,在之后加入新的 *** 的时候(无论是一个新的咖啡馆还是你朋友家的 *** ),试图也为它指定一个区域吧 。这样可以很好地让你意识到不同的 *** 的安全性是不一样的,你并不会仅仅因为使用了 Linux 而比任何人更加安全 。
默认区域 每次你加入一个新的 *** 的时候,firewalld 并不会提示你进行选择,而是会指定一个默认区域 。你可以在终端里输入下面这个命令来获取你的默认区域:
$ sudo firewall-cmd --get-defaultpublic 在这个例子里,默认区域是 public 区域 。你应该保证该区域有非常严格的限制规则,这样在将它指定到未知 *** 中的时候才比较安全 。或者你也可以设置你自己的默认区域 。
比如说,如果你是一个比较多疑的人,或者需要经常接触不可信任的 *** 的话,你可以设置一个非常严格的默认区域:
$ sudo firewall-cmd --set-default-zone dropsuccess$ sudo firewall-cmd --get-defaultdrop 这样一来,任何你新加入的 *** 都会被指定使用 drop 区域,除非你手动将它制定为另一个没有这么严格的区域 。
通过开放端口和服务实现自定义区域 Firewalld 的开发者们并不是想让他们设定的区域能够适应世界上所有不同的 *** 和所有级别的信任程度 。你可以直接使用这些区域,也可以在它们基础上进行个性化配置 。
你可以根据自己所需要进行的 *** 活动决定开放或关闭哪些端口,这并不需要对防火墙有多深的理解 。
预设服务 在你的防火墙上添加许可的最简单的方式就是添加预设服务 。严格来讲,你的防火墙并不懂什么是“服务”,因为它只知道端口号码和使用协议的类型 。不过在标准和传统的基础之上,防火墙可以为你提供一套端口和协议的组合 。
比如说,如果你是一个 web 开发者并且希望你的计算机对本地 *** 开放(这样你的同事就可以看到你正在搭建的网站了),可以添加 http 和 https 服务 。如果你是一名


推荐阅读


上一篇:2020开学之一课里面的内容主要讲什么

下一篇:*** 流量怎么提升