微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

linux防火墙解析

linux防火墙解析

Firewalld概述

(1)支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具。
(2)支持IPv4、IPv6防火墙设置以及以太网桥接
(3)支持服务或应运程序直接添加防火墙规则口
(4)拥有两种配置模式
运行时配置
永久配置

Firewalld和iptables的关系

linux防火墙解析

netfilter

(1)位于linux内核中的包过滤功能体系
(2)称为Linux防火墙的“内核态”

Firewalld/iptables

(1)Centos7认的管理防火墙规则的工具(Firewalld)
(2)称为linux防火墙的“用户态”

Firewalld和iptables的区别

linux防火墙解析

Firewalld网络区域

区域介绍

linux防火墙解析

Firewalld网络区域

区域介绍

(1)区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
(2)可以使用一个人或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
(3)认情况下,public区域是认区域,包含所有接口(网卡)

Firewalld数据处理流程

检查数据来源的源地址
(1)若源地址关联到特定的区域,则执行该区域所指定的规则
(2)若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
(3)若网络接口未关联到特定的区域,则使用认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

(1)实时生效,并持续至Firewalld重新启动或重新加载配置
(2)不中断现有连接
(3)不能修改服务配置

永久配置

(1)不立即生效。除非Firewalld重新启动或重新加载配置
(2)中断现有连接
(3)可以修改服务配置

Firewalld-config图形工具

运行时配置/永久配置

linux防火墙解析

重新加载防火墙

更改永久配置并生效

linux防火墙解析

关联网卡到指定区域

“区域”选项卡

(1)“服务” 子选项卡
(2)“端口”子选项卡
(3)“协议”子选项卡
(4)“源端口”子选项卡
(5)“伪装”子选项卡
(6)“端口转发”子选项卡
(7)“ICMP过滤器”子选项卡

linux防火墙解析

“服务”选项卡

(1)“模块”子选项卡
(2)“目标地址”子选项卡
修改认区域
连接状态
Firewalld-cmd命令行工具

1)启动、停止、查看 firewalld 服务

启动 firewalld

[[email protected] ~]# systemctl start firewalld
1

设置 firewalld 为开机自启动

[[email protected] ~]# systemctl enable firewalld
1
如果 firewalld 正在运行,通过 systemctl status firewalld 或 firewall-cmd 命令 可以查看其运行状态

[[email protected] ~]# systemctl status firewalld

linux防火墙解析

2)获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻
塞类型

显示预定义的区域

[[email protected] ~]# firewall-cmd --get-zones

linux防火墙解析

显示预定义的服务

[[email protected] ~]# firewall-cmd --get-services

linux防火墙解析

显示预定义的 ICMP 类型

[[email protected] ~]# firewall-cmd --get-icmptypes

linux防火墙解析

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。

(1) destination-unreachable:目的地址不可达。
(2)echo-reply:应答回应(pong)。
(3) parameter-problem:参数问题。
(4) redirect:重新定向。
(5) router-advertisement:路由器通告。
(6) router-solicitation:路由器征寻。
(7)source-quench:源端抑制。
(8) time-exceeded:超时。
(9) timestamp-reply:时间戳应答回应。
(10) timestamp-request:时间戳请求。

3)区域管理

使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能

(1)–get-default-zone 显示网络连接或接口的认区域
(2)–set-default-zone= 设置网络连接或接口的认区域
(3)–get-active-zones 显示已激活的所有区域
(4)–get-zone-of-interface= 显示指定接口绑定的区域
(5)–zone= --add-interface= 为指定接口绑定区域
(6)–zone= --change-interface= 为指定的区域更改绑定的网络接口
(7)–zone= --remove-interface= 为指定的区域删除绑定的网络接口
(8)–list-all-zones 显示所有区域及其规则
(9)[–zone=] --list-all 显示所有指定区域的所有规则,省略–zone=时表示仅 对认区域操作

1)显示当前系统中的认区域。

[[email protected] ~]# firewall-cmd --get-default-zone

linux防火墙解析

2)显示认区域的所有规则

[[email protected] ~]# firewall-cmd --list-all

linux防火墙解析

3)显示网络接口 ens33 对应区域

[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33

linux防火墙解析

4)将网络接口 ens33 对应区域更改为 internal 区域。

[[email protected] ~]# firewall-cmd --zone=internal --change-interface=ens33

linux防火墙解析

5)显示所有激活区域。

[[email protected] ~]# firewall-cmd --get-active-zones

linux防火墙解析

4)服务管理

为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在 /usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服
务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的 firewalld 中认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允 许访问的服务。当认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。
(1) 通过服务名字来管理规则更加人性化。
(2) 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服 务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
1、[–zone=] --list-services 显示指定区域内允许访问的所有服务
2、[–zone=] --add-service= 为指定区域设置允许访问的某项服务
3、[–zone=] --remove-service= 删除指定区域已设置的允许访问的某项服务
4、[–zone=] --list-ports 显示指定区域内允许访问的所有端口号
5、[–zone=] --add-port=[-]/
为指定区域设置允许访问的某个/某段端口号 (包括协议名)
6、[–zone=] --remove-port=[-]/
删除指定区域已设置的允许访问的端口号(包括 协议名)
7、[–zone=] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
8、[–zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项 ICMP 类型
9、[–zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项 ICMP 类 型,省略–zone=时表示对认区域操作

(1)为认区域设置允许访问的服务。

显示认区域内允许访问的所有服务:

[[email protected] ~]# firewall-cmd --list-services

linux防火墙解析

设置认区域允许访问 http 服务success

[[email protected] ~]# firewall-cmd --add-service=http

linux防火墙解析

设置认区域允许访问 https 服务
[[email protected] ~]#firewall-cmd --add-service=https

linux防火墙解析

(2)为 internal 区域设置允许访问的服务。

设置 internal 区域允许访问 MysqL 服务

[[email protected] ~]# firewall-cmd --zone=internal --add-service=MysqL

linux防火墙解析

设置 internal 区域不允许访问 samba-client 服务

[[email protected]~]#firewall-cmd --zone=internal --remove-service=samba-client

linux防火墙解析

显示 internal 区域内允许访问的所有服务

linux防火墙解析

5)端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自
动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作
即可实现在 internal 区域打开 443/TCP 端口。

[[email protected] ~]# firewall-cmd --zone=internal --add-port=443/tcp

linux防火墙解析

若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。

[[email protected] ~]#firewall-cmd --zone=internal --remove-port=443/tcp

linux防火墙解析

6)两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示 当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模 式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置 文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
(1) --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
(2) --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时 规则。
(3)–runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性
/etc/firewalld/中的配置文件
(1)Firewalld会优先使用/etc/fireewalld/中的配置,如果不存在配置做文件,则使用/usr/bin/firewalld/中的配置
(2)/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/bin/firewalld/中拷贝
(3)/usr/bin/firewalld/:配置文件,不建议修改,若恢复至认配置,可直接删除/etc/firewalld/中的配置。

谢谢收看

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐