文章目录
防火墙基础----firewalld
一:Firewalld,iptables概述
1.1:Firewalld简介
- 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
- 支持IPv4,IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式
运行时配置(一般测试的时候使用)
永久配置
1.2: 防火墙放行规则
- 出去的 防火墙记录你的源IP地址,是内部的地址,回来的防火墙检查要是内部地址就不用安检
- 如果额外添加防火墙规则,可以进出都检查
- 同等级别的访问默认也拒绝
- 低级别往高级别默认拒绝
- 高级别往低级别默认放行
二:Firewalld和iptables的关系
2.1:netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
2.2:Firewalld、iptables
- CentOS 7默认的管理防火墙规则的工具(Firewalld)
- 称为Linux防火墙的“用户态”
2.3:netfilter和Firewalld,iptables关系
- 只有iptables才能和内核态进行交互
- Firewalld就是对iptables的封装,并且有区域性的概念
2.4:Firewalld和iptables的区别
Firewalld | iptables | |
---|---|---|
配置文件 | /usr/lib/firewalld,/etc/firewalld/firewalld.conf | /etc/sysconfig/iptables-config |
对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失链接 |
防火墙类型 | 动态防火墙 | 静态防火墙 |
2:5:CentOS 6 和CentOS 7 防火墙的区别
-
centos7有firewalld,iptables
centos6是iptables
-
图形化管理工具 firewall-config
命令管理工具:iptables(操作复杂) firewall-cmd
三:Firewalld网络区域
3.1:区域介绍
-
区域如同进入主机的安全门,每个区域都具有不同限制程度
的规则 -
可以使用一个或多个区域,但是任何一个活跃区域至少需要
关联源地址或接口 -
默认情况下,public区域是默认区域,包含所有接口(网卡)
3.2:firewalld 数据处理流程
- Firewalld数据处理流程
检查数据来源的源地址
◆若源地址关联到特定的区域,则执行该区域所指定的规则
◆若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
◆若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
四:Firewalld防火墙的配置方法
- 运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置 - 永久配置
不立即生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 - firewall-config图形工具(用的少)
- firewall-cmd命令行工具(用的多)
- /etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/bin/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置 - 优先读/etc/firewalld,如果不存在,再读取/usr/lib/firewalld 这个一般不建议修改
五:firewall-cmd命令行设置
5.1:启动、停止、查看 firewalld 服务
- 在安装 CentOS7 系统时,会自动安装 firewalld 和图形化工具 firewall-config。执行 以下命令可以启动 firewalld 并设置为开机自启动状态。
[root@localhost ~]# systemctl start firewalld //启动 firewalld
[root@localhost ~]# systemctl enable firewalld //设置 firewalld 为开机自启动
[root@localhost ~]# systemctl status firewalld //查看 firewalld 防火墙状态
[root@localhost ~]# firewall-cmd --state //查看防火墙状态
[root@localhost ~]# systemctl stop firewalld //停止 firewalld
[root@localhost ~]# systemctl disable firewalld //设置 firewalld 开机不自启动
5.2:获取自定义信息
- firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻 塞类型,具体的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域
[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务
[root@localhost ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
destination-unreachable:目的地址不可达。
echo-reply:应答回应(pong)。
parameter-problem:参数问题。
redirect:重新定向。
router-advertisement:路由器通告。
router-solicitation:路由器征寻。
source-quench:源端抑制。
time-exceeded:超时。
timestamp-reply:时间戳应答回应。
timestamp-request:时间戳请求。
5.3:区域管理
-
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
以下列出了 firewall-cmd 命令的区域管理选项说明。
[root@localhost ~]# firewall-cmd --get-default-zone //显示网络连接或接口的默认区域
[root@localhost ~]# firewall-cmd --set-default-zone=<zone> //设置网络连接或接口的默认区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 //显示网络接口 ens33 对应区域。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33 //将网络接口 ens33 对应区域更改为 internal 区域。
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces //查看internal区域对应的网络接口
ens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 //查看网络接口ens33对应的区域
internal
[root@localhost ~]# firewall-cmd --get-active-zones //显示所有激活区域。
[root@localhost ~]# firewall-cmd --zone=<zone> --add-interface=<interface> //为指定接口绑定区域
[root@localhost ~]# firewall-cmd --zone=<zone> --change-interface=<interface> //为指定的区域更改绑定的网络接口
[root@localhost ~]# firewall-cmd --remove-interface=<interface> //为指定的区域删除绑定的网络接口
[root@localhost ~]# firewall-cmd --list-all-zones //显示所有区域及其规则
[root@localhost ~]# firewall-cmd [--zone=<zone>] --list-all //显示所有指定区域的所有规则,省略--zone=<zone>时表示仅
对默认区域操作
5.4:服务管理
-
为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在 /usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服 务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。
-
在最新版本的 firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允 许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将
service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。
1)为默认区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --list-services //显示默认区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --add-service=http //设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https //设置默认区域允许访问 https 服务
2)为 internal 区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql //设置 internal 区域允许访问 mysql 服务
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client //设置 internal 区域不允许访问 samba-client 服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services //显示 internal 区域内允许访问的所有服务
5.5:端口管理
-
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自
动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口.
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp success //在 internal 区域打开 443/TCP 端口j
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp success //在 internal 区域禁止 443/TCP 端口访问,可执行以下命令
5.6:两种模式
-
前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示
当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模
式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置
文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
--reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
--permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时
规则。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性
六:实验案例
服务机192.168.100.120充当防火墙服务机
服务机配置如下
[root@shell ~]# systemctl status sshd
● sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
Active: active (running) since 二 2020-07-28 10:12
[root@shell ~]# rpm -q httpd
httpd-2.4.6-93.el7.centos.x86_64
[root@shell ~]# systemctl start httpd
6.1:把来源加入work区域
6.2:配置work区域
- 关闭ICMP协议,关闭ping的请求与回复
- 开启ssh服务供192.168.100.130访问
- 开启http服务供来源页面访问
- 验证防火墙
6.3:配置public
- 关闭ssh
- 开启http
- 关闭ping 功能
- 验证防火墙
把客户机192.168.100.130换个地址,不在work区域内,匹配到public区域