防火墙基础----Firewalld

最新推荐文章于 2022-05-23 12:42:22 发布
最新推荐文章于 2022-05-23 12:42:22 发布
阅读量355 收藏 3
点赞数 1
分类专栏: 防火墙 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LPFAM/article/details/107661128
版权

文章目录

防火墙基础----firewalld

一:Firewalld,iptables概述

1.1:Firewalld简介

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
  • 支持IPv4,IPv6防火墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式
    运行时配置(一般测试的时候使用)
    永久配置

1.2: 防火墙放行规则

  1. 出去的 防火墙记录你的源IP地址,是内部的地址,回来的防火墙检查要是内部地址就不用安检
  2. 如果额外添加防火墙规则,可以进出都检查
  3. 同等级别的访问默认也拒绝
  4. 低级别往高级别默认拒绝
  5. 高级别往低级别默认放行

二:Firewalld和iptables的关系

2.1:netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

2.2:Firewalld、iptables

  • CentOS 7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态”

2.3:netfilter和Firewalld,iptables关系

  • 只有iptables才能和内核态进行交互
  • Firewalld就是对iptables的封装,并且有区域性的概念

2.4:Firewalld和iptables的区别

Firewalldiptables
配置文件/usr/lib/firewalld,/etc/firewalld/firewalld.conf/etc/sysconfig/iptables-config
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失链接
防火墙类型动态防火墙静态防火墙

2:5:CentOS 6 和CentOS 7 防火墙的区别

  • centos7有firewalld,iptables

    centos6是iptables

  • 图形化管理工具 firewall-config

    命令管理工具:iptables(操作复杂) firewall-cmd

三:Firewalld网络区域

3.1:区域介绍

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度
    的规则

  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要
    关联源地址或接口

  • 默认情况下,public区域是默认区域,包含所有接口(网卡)

  • mark

3.2:firewalld 数据处理流程

  • Firewalld数据处理流程
    检查数据来源的源地址
    ◆若源地址关联到特定的区域,则执行该区域所指定的规则
    ◆若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
    ◆若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

四:Firewalld防火墙的配置方法

  • 运行时配置
    实时生效,并持续至Firewalld重新启动或重新加载配置
    不中断现有连接
    不能修改服务配置
  • 永久配置
    不立即生效,除非Firewalld重新启动或重新加载配置
    中断现有连接
    可以修改服务配置
  • firewall-config图形工具(用的少)
  • firewall-cmd命令行工具(用的多)
  • /etc/firewalld/中的配置文件
    Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/bin/firewalld/中的配置
    /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
    /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置
  • 优先读/etc/firewalld,如果不存在,再读取/usr/lib/firewalld 这个一般不建议修改

五:firewall-cmd命令行设置

5.1:启动、停止、查看 firewalld 服务

  • 在安装 CentOS7 系统时,会自动安装 firewalld 和图形化工具 firewall-config。执行 以下命令可以启动 firewalld 并设置为开机自启动状态。
[root@localhost ~]# systemctl start firewalld  //启动 firewalld 
[root@localhost ~]# systemctl enable firewalld //设置 firewalld 为开机自启动 
[root@localhost ~]# systemctl status firewalld //查看 firewalld 防火墙状态
[root@localhost ~]# firewall-cmd --state       //查看防火墙状态
[root@localhost ~]# systemctl stop firewalld   //停止 firewalld 
[root@localhost ~]# systemctl disable firewalld //设置 firewalld 开机不自启动

5.2:获取自定义信息

  • firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻 塞类型,具体的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域 
[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务
[root@localhost ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型 

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。 
 destination-unreachable:目的地址不可达。 
 echo-reply:应答回应(pong)。 
 parameter-problem:参数问题。 
 redirect:重新定向。 
 router-advertisement:路由器通告。 
 router-solicitation:路由器征寻。 
 source-quench:源端抑制。 
 time-exceeded:超时。 
 timestamp-reply:时间戳应答回应。 
 timestamp-request:时间戳请求。

5.3:区域管理

  • 使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。

    以下列出了 firewall-cmd 命令的区域管理选项说明。

[root@localhost ~]# firewall-cmd --get-default-zone    //显示网络连接或接口的默认区域
[root@localhost ~]# firewall-cmd --set-default-zone=<zone> //设置网络连接或接口的默认区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 //显示网络接口 ens33 对应区域。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33 //将网络接口 ens33 对应区域更改为 internal 区域。
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces //查看internal区域对应的网络接口
ens33 
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 //查看网络接口ens33对应的区域
internal 
[root@localhost ~]# firewall-cmd --get-active-zones   //显示所有激活区域。
[root@localhost ~]# firewall-cmd --zone=<zone> --add-interface=<interface> //为指定接口绑定区域
[root@localhost ~]# firewall-cmd --zone=<zone> --change-interface=<interface>  //为指定的区域更改绑定的网络接口
[root@localhost ~]# firewall-cmd --remove-interface=<interface> //为指定的区域删除绑定的网络接口
[root@localhost ~]# firewall-cmd --list-all-zones   //显示所有区域及其规则 
[root@localhost ~]# firewall-cmd [--zone=<zone>] --list-all //显示所有指定区域的所有规则,省略--zone=<zone>时表示仅 
对默认区域操作

5.4:服务管理

  • 为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在 /usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服 务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。

  • 在最新版本的 firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允 许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将

    service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。

1)为默认区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --list-services  //显示默认区域内允许访问的所有服务 
[root@localhost ~]# firewall-cmd --add-service=http //设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https //设置默认区域允许访问 https 服务

2)为 internal 区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql  //设置 internal 区域允许访问 mysql 服务
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client  //设置 internal 区域不允许访问 samba-client 服务 
[root@localhost ~]# firewall-cmd --zone=internal --list-services  //显示 internal 区域内允许访问的所有服务

5.5:端口管理

  • 在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自

    动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口.

    [root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp 
success   // internal 区域打开 443/TCP 端口j

    [root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp 
success  // internal 区域禁止 443/TCP 端口访问,可执行以下命令

5.6:两种模式

  • 前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示

    当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模

    式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置

    文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。 
 --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。 
 --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时 
规则。 
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性

六:实验案例

服务机192.168.100.120充当防火墙服务机

服务机配置如下

[root@shell ~]# systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2020-07-28 10:12
[root@shell ~]# rpm -q httpd
httpd-2.4.6-93.el7.centos.x86_64
[root@shell ~]# systemctl start httpd

6.1:把来源加入work区域

mark

mark

6.2:配置work区域

  • 关闭ICMP协议,关闭ping的请求与回复

mark

  • 开启ssh服务供192.168.100.130访问

mark

  • 开启http服务供来源页面访问

mark

  • 验证防火墙

mark

mark

mark

6.3:配置public

  • 关闭ssh

mark

  • 开启http

mark

  • 关闭ping 功能

mark

  • 验证防火墙

把客户机192.168.100.130换个地址,不在work区域内,匹配到public区域

mark

mark

mark

一往无前,未来可期
关注
专栏目录
Linux--firewalld防火墙基础firewalld和iptables的关系,四表五链,netfilter与iptables的关系,iptables语法与参数,firewalld网络区域)
CN_TangZheng的博客
12-09 905
Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙) - Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用
防火墙基础-Firewalld
wwwu1998的博客
05-18 288
防火墙基础-Firewalld
Linuxfirewalld防火墙
芦苇的博客
05-26 235
内容概要一、firewalld简介二、iptables和firewalld的区别三、firewalld防火墙的9个区域四、firewalld数据处理流程五、firewalld防火墙的配置方法 一、firewalld简介 在Centos7系统中之前我们所说的iptables 防火墙已经被firewalld防火墙所取代,在网络层工作,数据包过滤防火墙 iptables和firewalld都是用来管理防火墙的工具,都属于用户态,内部结构都指向netfilter网络过滤子系统(内核态)来实现包过滤防火墙功能。 fi
一文firewalld
tootsy_you的博客
04-30 602
文章目录序言什么是firewall?firewall功能?与iptables的异同?区别常用命令?策略配置 序言 以前做防火墙总是喜欢用iptables,包括centos7出来以后还是改不了这个习惯,centos7新增了firewall,不用不知道,用起来,“真香”! 这是之前转载的一篇IPtables文章 什么是firewall? 通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,就是firewall,当
Linux防火墙firewalld
m0_67156403的博客
05-01 798
firewalld(Dynamic Firewall Manager of Linux System,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。在比较新的系统中,firewalld 防火墙已经取代了 iptables 防火墙 firewalld和iptables的区别 1.iptables主要是基于接口,来设置规则,从而判断网络的安全性。 firewalld是基于区域,根据不同的区域来设置不同的规则,从而保
CentOS在/etc/sysconfig/路径下无iptables文件时不卸载firewall修改防火墙设置的方法
牧羊少年
03-27 640
在etc/sysconfig/路径下无iptables文件的情况下,不关闭firewall修改centos7的防火墙设置
理论+实验·Firewalld防火墙基础---firewall-cmd
weixin_47153668的博客
08-01 949
理论+实验·Firewalld防火墙基础—firewall-cmd Firewalld概述 Firewalld 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 ​ 运行时配置 ​ 永久配置 Firewalld和iptables的关系 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" Firewalld/iptables ​ CentOS
linux防火墙 33001端口,Linux防火墙基础试题-firewalld
weixin_30676505的博客
05-01 972
1默认public区域对外开放所有人能通过ssh服务连接,但拒绝192.168.200.0/24网段通过ssh连接服务器。[root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 port port=22 protocol=tcp drop'success[r...
Firewalld防火墙基础
rqaz123的博客
05-23 281
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
firewalld使用方法
ShareBoy
01-16 495
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disable firewalld 禁用: systemctl stop firewalld   2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkc
firewalld基本用法
lxxgogo的博客
12-16 565
安全OSI 1.硬件层面: 温度 机柜上锁 磁盘损坏 cpu异常 等等 <--监控 2.网络层面: 没有公网IP 3.系统层面: 打补丁 禁止Root直接登录 变更SSH端口 软防 4.应用层面: 监听在内网网卡 不要使用弱口令密码 5.web层面: 劫持和篡改网站 漏洞注入(非法方式进入网站) ddos(造成网站无法响应) 安骑士 云盾 ....
centos7动态防火墙firewalld基本命令与开放端口。
如果你也有萌
11-21 689
centos7动态防火墙firewalld基本命令与开放端口
firewalld实例
l_s_k的博客
04-09 525
–permanent是永久生效的设置,需要执行–reload来生效配置,一般来说如果没有加上这条选项的话,执行–reload之后的设置都会失效 以下试题可以不加此选项,但是不能执行#firewall-cmd --reload 1:默认public区域对外开放所有人能通过ssh服务连接,但拒绝192.168.200.0/24网段通过ssh连接服务器 # firewall-cmd --perma...
centos7默认防火墙firewalld
weixin_30417487的博客
11-25 112
1、开关 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 查看所有规则:firewall-cmd --list-all 参数--permanent为永久生效 否则重...
linux firewalld
L*YUE的博客
03-21 261
目录防火墙介绍防火墙管理工具切换iptables的使用防火墙默认策略 防火墙介绍 netfilter是规则表的容器,iptables是防火墙的核心模块,负责维护防火墙的规则表,iptables和firewalld都是Linux上管理防火墙规则的工具。 防火墙管理工具切换 在rhel8中默认使用的是firewalld 1.firewalld ----->iptables yum instal...
Firewalld的基本参数和简单使用方法
weixin_34054866的博客
11-23 133
Firewalld即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器。Firewalld是一个服务,用于配置网络连接,从而哪些内外部网络的数据包可以允许穿过网络或阻止穿过网络。##区域规则 drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。 block(限制) 任何接收的网络连接都被 ...
Firewalld 防火墙基础,超详细!!!理论 + 实验!新手看过来
CSDN著名博主
08-04 1017
Firewalld防火墙基础一、Firewalld概述二、Firewalld和iptables的关系三、Firewalld网络区域四、Firewalld防火墙的配置方法五、Firewall-config图形工具六、Firewalld防火墙案例实验 一、Firewalld概述 ■Firewalld 支持网络区域所定义的网络链接以及接安全等级的动态防火墙管理工具 支持IPv4、IPv6防火 墙设置以及以太网桥 拥有两种配置模式 ◆运行时配置 ◆永久配置 二、Firewalld和iptables的关系 ■ne
Firewalld 日志开启.
zhuzhuxiazst的专栏
05-23 4811
1 开启firewalld 的debug日志,编辑 /etc/sysconfig/firewalld文件加入debug参数,重启firewalld,日志输出到 /var/log/firewalld: root@xxx:[/var/log]$vi /etc/sysconfig/firewalld # firewalld command line args # possile...
firewalld.service - firewalld - dynamic firewall daemon
最新发布
09-06
火墙服务(firewalld.service)是一个动态防火墙守护程序,它在Linux系统中用于管理和配置网络防火墙,比如CentOS和Fedora等基于Systemd的发行版。firewalld 动态地监控系统的网络连接,并根据预设的规则(策略)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值