linux 如何查看防火墙是否开启

详细步骤如下：

1、打开Linux系统进入桌面，点击上方菜单栏处【系统】选项；

2、在弹出的菜单栏中，依次点击【管理】，【防火墙】选项；

3、进入防火墙界面，输入用户密码，进行安全验证；

4、连接服务器后，输入语句‘service iptables status’，回车，会显示防火墙状态；

5、输入语句‘chkconfig iptables on’，可以开启防火墙。或者使用语句‘chkconfig iptables off’，关闭防火墙，需要重启后生效。

安全

【ensp】防火墙概述与命令总结

云归959

原创

关注

4点赞·6380人阅读

防火墙概述与命令总结

0713 防火墙的基本概述：

安全策略：

0714 防火墙的NAT策略：

server nat：

pat与no-pat做法：

域内nat做法：

0715 防火墙的双机热备：

在防火墙上配置VGMP：

0717 防火墙的GRE封装：

gre在防火墙上应用：

防火墙中的telnet配置：

防火墙中ssh配置:

0713 防火墙的基本概述：

防火墙分为：

框式防火墙

盒式防火墙

软件防火墙（公有云、私有云）

我们目前学习的是状态检测防火墙：

通过检查首包的五元组，来保证出入数据包的安全

隔离不同的网络区域

通常用于两个网络之间，有选择性针对性的隔离流量

阻断外网主动访问内网，但回包不算主动访问

安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：

local：本地区域，所有IP都属于这个区域

trust：受信任的区域

DMZ：是介于管制和不管制区域之间的区域，一般放置服务器

untrust：一般连接Internet和不属于内网的部分

ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作

firewall zone [区域名] //进入安全区域

add interface GigabitEthernet [接口号] //添加接口到此区域

display zone //查看区域划分情况

复制

安全策略：

与ACL类似，动作只有两种：permit和deny

每一个想要通过防火墙的数据包都需要被安全策略检查，如果不写安全策略，ping都经过不了防火墙

如何去写安全策略：

security-policy

rule name [策略名]

source-zone [区域名]

source-address [源地址] [掩码] //此条可以略

destination-zone [区域名]

destination-address [源地址] [掩码] //此条可以略

service [协议名] //需要放行的协议

action permit //此条策略的动作是放行

复制

防火墙策略命中即转发

一些今天的名词：

ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情

SPU：防火墙特有的，用于实现防火墙的安全功能

五元组：源/目地址、源/目端口号、协议

ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理

ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接

ftp的主动模式（port）：server主动向client发起数据通道的连接

ftp被动模式（pasv）：server等待client发起数据通道的连接

0714 防火墙的NAT策略：

NAT转换有两种转换：

源NAT：

no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网

pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问

ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问

目标NAT：

server nat //服务器映射

值得注意的是：

如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略

如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略

实验总结概述：

如何做nat：

server nat：

nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]

复制

pat与no-pat做法：

nat address-group [地址组名]

mode pat

section [初始地址] [结束地址]

nat-policy //进入nat策略，将前一步的地址池应用在nat策略中

source-zone [区域名]

source-address [源地址] [掩码]

destination-zone [区域名]

destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT //应用地址组

//之后就是看需要写安全策略

复制

域内nat做法：

访问需要通过公网地址访问

第一步：将接口划分好所属区域，做好基础配置

第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）

nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www

//此步为服务器映射

nat address-group NAT

mode pat

section 0 205.1.1.1 205.1.1.1

第三步：进入nat策略，将前一步的地址池应用在nat策略中

nat-policy

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

//此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT

第四步：设置安全策略，允许地址通过，并说明区域

security-policy

default packet-filter intrazone enable

//设置防火墙区域间流量也检查

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

service http

service tcp

action permit

复制

chkconfig命令只是查看和设置服务的自动启动情况,并不能反映当前服务的状态.

service

iptables

status可以查看到iptables服务的当前状态

但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置

iptables

-L

上述命令的返回值如果显示没有防火墙规则,那就是不起作用反之就是防火墙在起作用.

---