目录
一、防火墙的分类
1、包过滤:网络层 只检查ip地址与端口号
2、状态检测:网络层 连接状态表
3、应用代理:应用层 检查ip、端口、内容
二、linux防火墙名称
1、netfilter:内核态
2、firewalld:用户态 工具
三、firewalld简介
1、划分区域
2、动态防火墙管理工具
3、支持ipv4、ipv6、以太网桥
4、支持服务或应用程序
5、两种配置方式
1)运行时配置:临时
2)永久配置:固定
四、firewalld防火墙定义区域的方法
1、根据ip地址
2、根据接口
五、firewalld防火墙过滤数据包的流程
1、检查源地址
1)若源地址关联到特定区域,则执行该区域所制定的规则
2)若源地址未关联到特定区域,则使用传入接口的区域,并执行该区域的规则
3)若接口也未关联到特定区域,则执行默认区域的规则
六、常见的区域
1、trust(信任区域):接受任何流量,包括传入与传出,且传出时不用做nat
2、public(公共区域,默认区域):允许传出流量(nat),传入流量ssh
3、internal(内部区域):允许传出流量(nat),传入流量ssh
4、external(外部区域):允许传出流量,且自动进行nat,传入流量ssh
5、dmz(非军事化区域):放服务器,允许传出流量,传入流量ssh
七、配置防火墙有三种方法:
1、firewall-config图形
2、firewall-cmd命令
3、/etc/firewalld配置文件
通过命令配置防火墙
1、预定义的区域
firewall-cmd --get-zones
2、查看识别的服务
firewall-cmd --get-services
3、查看icmp类型
firewall-cmd --get-icmptypes
4、查看默认区域
firewall-cmd --get-default-zone
5、更改默认区域
firewall-cmd --set-default-zone=区域名
6、查看活动的区域
firewall-cmd --get-active-zones
7、将接口加入区域
firwalld-cmd [--zone=区域名] --add-interface=接口名
8、更改接口到区域
firewall-cmd [--zone=区域名] --change-interface=接口名
9、查看指定区域的所有设置
firewall-cmd [--zone=区域] --list-all
10、为指定区域添加允许访问的服务
firewall-cmd [--zone=区域名] --add-service=服务名
11、为指定区域添加允许访问的端口
firewall-cmd --zone=区域 --add-port=端口id/协议
添加:add 删除:remove
12、查看指定区域拒绝访问的icmp类型
firewall-cmd --zone=区域名 --list-icmp-blocks
13、向指定区域添加拒绝访问的icmp类型
firewall-cmd --zone=区域名 --add-icmp-block=icmp类型
配置方式
1、运行时配置
2、永久配置
1)--permanent
2)重新加载生效
firewall-cmd --reload
将临时配置转换成永久配置
firewall-cmd --runtime-to-permanent