CentOS防火墙更新策略有哪些推荐

CentOS 防火墙更新与维护策略

一策略总则

二更新与变更流程

变更前基线采集：记录当前生效配置与活跃区域，便于回滚与审计。
示例：
- firewall-cmd --get-default-zone
- firewall-cmd --get-active-zones
- firewall-cmd --list-all --zone=public
采用“先永久后生效”的原子操作：所有变更加**–permanent**，一次性**–reload**使配置生效，避免半更新状态。
变更后验证：按业务路径逐项连通性验证（如 TCP 22/80/443），确认未误拦合法流量。
回滚预案：保留变更前的规则快照（如备份 /etc/firewalld/ 目录），必要时快速恢复；对关键业务窗口期执行变更并准备回滚窗口。

三规则维护与优化

四常见场景与命令模板

场景A 新业务上线（开放 80/443）
1. 放行服务：firewall-cmd --zone=public --add-service=http --permanent
2. 放行服务：firewall-cmd --zone=public --add-service=https --permanent
3. 生效：firewall-cmd --reload
场景B 变更 SSH 端口（示例 2222）
1. 放行新端口：firewall-cmd --zone=public --add-port=2222/tcp --permanent
2. 生效：firewall-cmd --reload
3. 如仍使用默认端口 22，建议移除：firewall-cmd --zone=public --remove-service=ssh --permanent && firewall-cmd --reload
4. 同步 SELinux（若启用）：semanage port -a -t ssh_port_t -p tcp 2222
场景C 仅内网管理网段可 SSH
1. 移除全局 SSH：firewall-cmd --zone=public --remove-service=ssh --permanent
2. 添加白名单：firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“2222” protocol=“tcp” accept’
3. 生效：firewall-cmd --reload
场景D 审计与回滚
1. 拒绝日志：firewall-cmd --set-log-denied=all；实时查看：tail -f /var/log/messages | grep firewalld
2. 备份规则：tar czvf firewalld_backup_$(date +%F).tar.gz /etc/firewalld

五运维节奏与风险控制

最新问答