查看防火墙状态
systemctl status firewalld

查看开放的端口
firewall-cmd --list-ports

查看特定端口是否开放
firewall-cmd --query-port=22/tcp

添加端口
firewall-cmd --zone=public --add-port=80/tcp --permanent

添加富规则禁止访问3306端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="3306" accept"

移除端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent

查看所有区域
firewall-cmd --get-zones

查看激活区域
firewall-cmd --get-active-zones

查看某个区域的详细状态
firewall-cmd --list-all --zone=public

开放网卡
firewall-cmd --zone=public --permanent --add-interface=eth0

查看所有的端口
netstat -anp 

移除某个服务
firewall-cmd --zone=public --remove-service=dhcpv6 --permanent

禁用3306端口
firewall-cmd --zone=drop --add-port=3306/tcp --permanent

1，开启防火墙，仅开放使用的端口81
2，修改sshd配置，禁止root登录，修改sshd端口

加固操作一
1，禁用不使用的用户；一般不直接删除，直接在passwd文件中编辑用户，在前面加上#注释掉该用户行即可
2，修改ssh默认端口22
3，登陆超时设置；在“/etc/profile”中添加
export TMOUT=300
readonly TMOUT
4，禁止root直接远程登陆；编辑“/etc/ssh/sshd_config”文件
5，限制登录失败次数并锁定；在“/etc/pam.d/login”文件后添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180

网络安全
1：禁用IPV6；在用不到IPV6时，将其禁用会加快网络。让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf，内容如下：
[root@176dems ~]# cat /etc/modprobe.d/ipv6off.conf
alias net-pf-10 off
options ipv6 disabled

1.2：禁用基于IPv6网络，使之不会被触发启动：
[root@176dems ~]# cat /etc/sysconfig/network
# Created by anaconda
NETWORKING_IPV6=no
[root@176dems ~]#

1.3：禁用网卡IPv6设置，使之仅在IPv4模式下运行：

IPV6INIT=no
IPV6_AUTOCONF=no

[root@176dems ~]# cat /etc/sysconfig/network-scripts/ifcfg-eno1
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=eno1
UUID=71698c5e-8810-3929-8949-b89a61cbeebf
ONBOOT=yes
AUTOCONNECT_PRIORITY=-999
DEVICE=eno1
IPADDR=10.28.54.176
NETMASK=255.255.255.0
GATEWAY=10.28.54.1
DNS1=114.114.114.114
DNS2=8.8.8.8
IPV6_PRIVACY=no

1.4：关闭ip6tables:

[root@176dems ~]# chkconfig ip6tables off
注意：正在将请求转发到“systemctl disable ip6tables.service”。
[root@176dems ~]#

1.5：重启系统，验证是否生效；如果没有任何输入说明禁用成功，否则失败
lsmod | grep ipv6
ifconfig | grep -i inet6

2：防止一般网络攻击

2.1：禁ping
方式一
[root@176dems ~]# sudo firewall-cmd --permanent --add-rich-rule 'rule protocol value="icmp" reject'
success
[root@176dems ~]# sudo firewall-cmd --reload
success

方式二
vim /etc/sysctl.conf
在文件末尾添加
net.ipv4.icmp_echo_ignore_all=1
0为允许ping，1为禁止ping，如果有这一行，则直接修改0或1即可

2.2：防止IP欺骗，编辑“/etc/host.conf”文件并增加如下几行来防止IP欺骗攻击：
[root@176dems ~]# cat /etc/host.conf
order hosts,bind
multi on
nospoof on

2.3 日志检查
/var/log/message 记录系统日志或当前活动日志
/var/log/auth.log 身份认证日志
/var/log/cron  cron日志
/var/log/maillog 邮件服务器日志
/var/log/secure  认证日志
/var/log/wtmp 历史登录，注销，启动，停机日志，lastb命令可查看登录失败的用户
/var/run/utmp 当前登录的用户信息日志，w,who命令信息来源
/var/log/yum.log yum日志

查看服务
netstat -lp