firewalld防火墙

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现。也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。

系统提供了图形化的配置工具firewall-config、system-config-firewal,提供命令行客户端firewall-cmd,用于配置firewalld永久性或非永久性运行时间的改变：它依次用iptables工具与执行数据包筛选的内核中的Netfilter通信。firewalld和iptables的逻辑关系如图所示。

从图中可以看到，iptables服务和firewalld都是通过iptables命令与内核的netfilter进行交互的。在Euler系统中，我们仍然可以使用iptables命令来管理我们的防火墙。唯一不同的是当我们重启服务器或重启firewalld时，iptables命令管理的规则不会自动加载，反而会被firewalld的规则代替。

3：firewalld与iptables service 的区别

iptables service在/etc/sysconfig/iptables中储存配置，而firewalld将配置储存在

/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里。

使用iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则，然而使用firewalld却不会再创建任何新的规则；仅仅运行规则中的不同之处。因此，firewalld可以在运行时间内，改变设置而不丢失现行连接。

二：Firewalld 网络区域

firewalld 将所有的网络数据流量划分为多个区域，从而简化防火墙管理。根据数据包的源 IP 地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检査的就是其源地址。

若源地址关联到特定的区域，则执行该区域所制定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则。

在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域都设置了默认打开的服务。下表中列出了 firewalld 的预定义区域说明。

区域	默认策略规则
trusted	允许所有的数据包
home	拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client 服务相关，则允许流量
internal	等同于 home 区域
work	拒绝流人的流量，除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client 服务相关，则允许流量
public	拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh、dhcpv6-client 服务相关，则允许流量
external	拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh服务相关，则允许流量
dmz	拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh服务相关，则允许流量
block	拒绝流人的流量，除非与流出的流量相关
drop	拒绝流人的流量，除非与流出的流量相关

三：Firewalld防火墙图形配置方法

在enler系统中，可以使用三种方式配置firewalld防火墙

>firewall-config 图形工具

>firewall-cmd命令行工具

>/etc/firewalld/中的配置文件

通常情况下，不建议直接编辑配置文件。所以本文我们只介绍前两种配置方法。

firewall-config 图形工具

firewall-cmf 命令行工具

在Euler系统中，执行以上命令可以安装 firewall-config 图形化页面，并进入图形化页面，然后根据提示输入账号密码即可。

进入系统后点击右上角“活动”，点击“防火墙”即可打开firewall-config工作界面，或者直接在终端中输入firewall-config 命令也可以打开此界面。

1：区域选项

（1）服务子选项

服务子选项卡可以定义区域中哪些服务是可信的，可信的服务可以被绑定到该区域的任意连接、接口和源地址访问。

（2）端口子选项

端口子选项用于设置允许访问的主机或网络访问的端口范围

（3）协议子选项

用于添加所有主机或网络均可访问的协议

（4）源端口子选项

源端口子选项卡可以添加额外的源端口或范围，连接到这台主机的所有主机或网络均可访问，如图所示。设置源端口时，可以设置某一个端口号或者是端口范围，同时还需要选择对应的 TCP 或 UDP 协议。

（5）伪装子选项

用于把私有地址映射道共有的 IP 地址，该功能目前只适用于 IPv4。

（6）端口转发子选项

“端口转发”子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口。在设置端口转发时同样需要选择协议类型，且该功能也仅支持IPV4。

（7）ICMP 过滤器子选项

ICMP 主要用于在联网的计算机间发送出错信息，但也发送类似 ping 请求以及回应等信息。在“ICMP过滤器”子选项卡中可以选择应该被拒绝的 ICMP 类型，其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制。

2：服务选项

（1）模块子选项

用于设置网络过滤的辅助模块。

（2）目标地址子选项

如果某服务指定了目标地址，服务项目仅限于目标地址和类型，如果 IPv4 与IPv6 均为空，则没有限制。

3：改变防火墙设置

要立刻改变现在的防火墙设置，须确定当前视图设定在运行时。或者，从下拉菜单中选择永久(Permanent)，编辑下次启动系统或者防火墙重新加载时执行的设定。

4：修改默认分区

要设定一个将要被分配新接口的分区作为默认值，则启动 firewall-config，从菜单栏选择选项卡，由下拉菜单中选择修改默认区域，出现默认区域窗口。从给出的列表中选择需要用的分区作为默认分区，点击确定按钮即可。

四：Firewalld防火墙fiewall-cmd命令设置

1：获取预定义信息

firewall-cmd 预定义信息主要包括三种：可用的区域、可用的服务以及可用的 ICMP 阻塞类型。

具体查看命令如下：

firewall-cmd --get-zones

firewall-cmd --get-services

firewall-cmd --get-icmptypes

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下：

destination-unreachable	目的地址不可达。
echo-reply	应回应(pong)
parameter-problem	参数问题
redirect	重新定向
router-advertisement	路由器通告。
router-solicitation	路由器征寻。
source-quench	源端抑制。
time-exceeded	超时。
timestamp-reply	时间戳应答回应。
timestamp-request	时间戳请求。

2：区域管理

使用 firewalld-cmd 命令可以实现获取和管理区域，为指定区域绑定端口等功能，关于direwall-cmd 的命令区域管理选项如下：

选项	说明
--get-default-zone	显示网络连接或接口的默认区域
--set-default-zone=<zone>	设置网络连接或接口的默认区域
--get-active-zones	显示已激活的所有区域
--get-zone-of-interface=<interface>	显示指定接口绑定的区域
--zone=<zone>--add-interface=<interface>	为指定接口绑定区域
--zone=<zone>--change-interface=<interface>	为指定的区域更改绑定的网络接口
--zone=<zone>--remove-interface=<interface>	为指定的区域删除绑定的网络接口
--list-all-zones	显示所有区域及其规则
[--zone=<zone>]--list-all	显示所有指定区域的所有规则

（1）显示当前系统中的默认区域

[root@localhost ~]# firewall-cmd --get-default-zone

public

（2）显示默认区域的所有规则

[root@localhost ~]# firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens160

sources:

services: dhcpv6-client mdns ssh

ports:

protocols:

forward: yes

masquerade: no

（3）显示网络接口ens160对应的区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160

public

（4）将网络接口ens160对应区域改为internal区域

[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens160

success

[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces

ens160

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160

internal

（5）显示所有激活区域

[root@localhost ~]# firewall-cmd --get-active-zones

internal

interfaces: ens160

3：服务管理

为了方便管理，firewalld 预先定义了很多服务，存放在 /usr/lib/firewalld/services/ 目录中，服务通过单个的 XML配置文件来指定。这些配置文件则按以下格式命名：service-name.xml，每个文件对应一项具体的网络服务，如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了 70 多种服务供我们使用，对于每个网络区域，均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将 service 配置文件放置在/etc/firewalld/services/目录中。service 配置具有以下优点：

>通过服务名字来管理规则更加人性化。

>通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

下面列出firewall-cmd 命令区域中服务管理的常用选项说明：

参数	作用
--get-default-zone	查访默认的区域名称
--set-default-zone=<区域名称>	设置默认的区域，使其永久生效
--get-zones	显示可用的区域
--get-services	显示预定义的服务
--get-active-zones	显示当前正在使用的区域、来源地址和网卡名称
--add-source=	将源自此IP或子网的流量导向指定的区域
--remove-source=	不再将源自此IP或子网的流量导向这个区域
--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	将某个网卡与区域进行关联
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>	设置默认区域允许该服务的流量
--add-port=<端口号/协议>	设置默认区域允许该端口的流量
--remove-service=<服务名>	设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>	设置默认区域不再允许该端口的流量
--reload	让”永久生效”的配置规则立即生效，并覆盖当前的配置规则
--panic-on	开启应急状况模式
--panic-off	关闭应急状况模式