Firewalld防火墙基础

最新推荐文章于 2024-07-21 15:42:37 发布

Mr_XHC

最新推荐文章于 2024-07-21 15:42:37 发布

阅读量304

点赞数

文章标签： linux 运维

本文链接：https://blog.csdn.net/Mr_XHC/article/details/109751354

版权

一、防火墙概述

1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具；
2、支持IPv4，IPv6防火墙设置以及以太网桥；
3、支持服务或应用程序直接添加防火墙规则接口；
4、拥有两种配置模式：
运行时配置（一般测试的时候使用）；
永久配置。

补充内容：

1、firewalld是7.0才开始有，6.0一直都是iptables；
2、防火墙工作在第四层传输层，和端口有关TCP、UDP；
3、大型数据中心用的背靠背方式–两个硬防火墙；
4、按区域进行定义：高安全区域和低安全区域（例如公司内部是一个高安全区域，外部是一个低安全区域），此外允许访问的公司服务在dmz区域（非军事化区域）；
低安全级别到高安全级别会经过防火墙过滤；
高安全级别到低安全级别是允许的。
5、运行时配置是临时配置，不会保存。

二、Firewalld防火墙

2.1 Firewalld和iptables的关系

1、netfilter

位于Linux内核中的包过滤功能体系；
称为Linux防火墙的“内核态”（不能）。

2、Firewalld/iptables

Centos7默认的管理防火墙规则的工具（Firewalld）；
称为Linux防火墙的“用户态”；
Firewalld就是iptables的一层封装，为了简化操作；
只有iptables才能和内核态进行交互。

3、区别

	Firewalld	iptables
配置文件	/etc/firewalld /usr/lib/firewalld	/etc/sysconfig/iptables
对规则的修改	不需要全部刷新策略，不丢失现行连接	需要全部刷新策略，丢失连接
防火墙类型	动态防火墙	静态防火墙

2.2 Firewalld网络区域

区域介绍：
1、区域如同进入主机的安全门，每个区域都具有不同限制程度的规则；
2、可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口；
3、默认情况下，public区域是默认区域，包含所有接口（网卡）。

iptables没有区域的概念，外部流量通过规则进入相应的区域接口（网卡）

Firewall的区域

防火墙为了简化管理，将所有网络流量分为多个区域（zone），然后根据数据包的源ip地址或传入的网络接口条件等将流量传入相应区域，每个区域都定义了自己打开或者关闭的端口和服务列表。其中默认区域为public

区域名称	默认配置说明
drop（丢弃）	丢弃所有传入流量
block（限制）	拒绝所有传入流量
public（公共）	允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其余都拒绝，也是新添加网络接口的默认区域
external（外部）	允许与ssh预定义服务匹配的传入流量，其余都拒绝；默认将进过此区域转发的ipv4地址传出流量进行地址伪装
dmz（军事区域）	允许与ssh预定义服务匹配的传入流量，其余都拒绝
work（工作）	允许与ssh、ipp-client、dhcpv6-client预定义服务匹配的传入流量，其余都拒绝
home（家庭）	允许与ssh、mdns、ipp-client、samba-client、dhcpv6-client预定义服务匹配的传入流量，其余都拒绝
internal（内部）	默认值时与home相同
trusted（信任）	允许所有的传入流量

2.3 Firewalld数据处理流程

1、检查数据来源的源地址；
2、若源地址关联到特定的区域，则执行该区域所指定的规则；
3、若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则；
4、若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则。

2.4 Firewalld防火墙的配置方法

1、运行时配置（类似于mount）

1.1、实时生效，并持续至firewalld重新启动或重新加载配置
1.2、不中断现有连接
1.3、不能修改服务配置

2、永久配置（类似于修改fstab文件）

2.1、不立即生效，除非firewalld重新启动或重新加载配置
2.2、中断现有连接
2.3、可以修改服务配置

2.5 Firewalld工具

1、firewall-config图形工具
2、firewall-cmd命令行工具
3、/etc/firewalld中的配置文件
firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/lib/firewalld/中的配置
/etc/firewalld/：用户自定义配置文件，需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可以直接删除/etc/firewalld/中的配置

三、firewall-cmd命令行工具

3.1 用法示例:

1.显示可以使用容易理解的名称表示的所有服务

[root@server1 ~]# ls /usr/lib/firewalld/services

在这里插入图片描述
2.查看支持的所有服务名称

[root@server1 ~]# firewall-cmd --get-services

在这里插入图片描述
3.查看所有区域

[root@server1 ~]# firewall-cmd --get-zones

在这里插入图片描述
4.查看当前默认区域

[root@server1 ~]# firewall-cmd --get-default-zone

在这里插入图片描述
5.查看当前指定网卡所处的区域

[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens33

在这里插入图片描述
6.查看指定区域中有没有相关的服务开放
查看public（默认）区域中有没有ssh服务开启（yes/no）

[root@server1 ~]# firewall-cmd --zone=public --query-service=ssh
[root@server1 ~]# firewall-cmd --zone=public --query-service=ftp
[root@server1 ~]# firewall-cmd --zone=public --query-service=dns

在这里插入图片描述
7.查看当前区域开放的服务

[root@server1 ~]# firewall-cmd --list-services（不指定区域，默认与当前网卡区域一样默认区域）

在这里插入图片描述
8.查看所有区域开放的服务

[root@server1 ~]# firewall-cmd --list-all-zones

在这里插入图片描述
9.查看指定区域开放的服务
查看public（默认）区域开放的服务

[root@server1 ~]# firewall-cmd --list-services --zone=public
[root@server1 ~]# firewall-cmd --list-services --zone=home
[root@server1 ~]# firewall-cmd --list-services --zone=work

在这里插入图片描述
10.查看指定区域开放的详细服务
查看public（默认）区域中开放的详细服务

[root@server1 ~]# firewall-cmd --list-all --zone=public
[root@server1 ~]# firewall-cmd --list-all --zone=dmz

在这里插入图片描述
11.防火墙重启（与–permanent配合使用）

[root@server1 ~]# firewall-cmd --reload

在这里插入图片描述

3.2 设置服务或端口放行

1.区域增加http服务
第一种方法（添加服务）

[root@server1 ~]# yum -y install httpd
[root@server1 ~]# echo "this is a tree." > /var/www/html/index.html
[root@server1 ~]# systemctl start httpd
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
在public（默认）区域开启http服务，永久配置

[root@server1 ~]# firewall-cmd --zone=public --add-service=http --permanent
[root@server1 ~]# firewall-cmd --reload   防火墙重启

查看public区域所有开放的服务
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
进行验证

[root@client1 ~]# curl http://20.0.0.10

在这里插入图片描述
第二种方法（添加服务的端口号，协议）
查看http的端口号

[root@server1 ~]# netstat -anpt | grep http  
永久配置，区域public中的服务端口80
[root@server1 ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
进行验证

[root@client1 ~]# curl http://20.0.0.10

在这里插入图片描述
2.删除区域里开放的服务

[root@server1 ~]# firewall-cmd  --zone=public --remove-service=http --permanent
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
3.临时配置形式进行删除端口号添加服务配置
运行时配置：临时命令在重启前有效，重启后清空

[root@server1 ~]# firewall-cmd --zone=public --remove-port=80/tcp
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

3.3 为网卡配置区域

1.为新的网卡配置区域

[root@server1 ~]# ifconfig

在这里插入图片描述

[root@server1 ~]# cd /etc/sysconfig/network-scripts/
[root@server1 network-scripts]# cp ifcfg-ens33 ifcfg-ens37
[root@server1 network-scripts]# vi ifcfg-ens37
[root@server1 network-scripts]# systemctl restart network
[root@server1 network-scripts]# ifconfig

在这里插入图片描述

直接在配置文件中修改服务所在的区域（public-internal）
在这里插入图片描述

查看网卡所在区域

[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens37
[root@server1 ~]# firewall-cmd --list-all --zone=internal

在这里插入图片描述
2.通过网卡指定区域

[root@server1 ~]# firewall-cmd --zone=external --change-interface=ens37  --permanent 
[root@server1 ~]# systemctl stop NetworkManager
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens37

在这里插入图片描述

3.4 配置拒绝服务设置

1.禁止访问public区域

[root@server1 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

[root@client1 ~]# ping 192.168.40.11

在这里插入图片描述
2.删除禁止访问区域public设置

[root@server1 ~]# firewall-cmd --zone=public --remove-icmp-block=echo-request --permanent
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

[root@client1 ~]# ping 192.168.40.11

在这里插入图片描述
3.指定主机禁止ssh登录访问区域

[root@client ~]# ssh root@192.168.40.11

在这里插入图片描述

[root@server1 ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.40.12/32" service name="ssh" reject"
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

[root@client1 ~]# ssh root@192.168.40.11

在这里插入图片描述

3.5 设置默认区域

设置home区域为默认区域（无网卡，源地址配置，处于未激活状态）

[root@server1 ~]# firewall-cmd --set-default-zone=home
设置默认区域
[root@server1 ~]# firewall-cmd --get-default-zone
查看home区域
[root@server1 ~]# firewall-cmd --list-all --zone=home

在这里插入图片描述
激活区域状态为活动状态

3.6 查看活动区域及端口

查看处于活动状态的区域

[root@server1 ~]# firewall-cmd --get-active-zones

在这里插入图片描述

四、Firewalld防火墙项目

4.1 实验环境

在这里插入图片描述

4.2 需求描述

 禁止主机ping服务器
 只允许192.168.40.12主机访问SSH服务器
 允许所有主机访问Apache服务

4.3 项目流程

1.禁止主机ping服务器

[root@server1 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request  --permanent 
[root@server1 ~]# firewall-cmd --reload
[root@server1 ~]# firewall-cmd --list-all

在这里插入图片描述

[root@server1 ~]# ping 192.168.40.11

在这里插入图片描述
2.只允许192.168.40.12主机访问SSH服务器
设置只有区域public配置192.168.40.12/32用户，关联192.168.40.12地址可登录SSH服务

[root@server1 ~]# firewall-cmd --list-all
[root@server1 ~]# firewall-cmd --zone=public --add-source=192.168.40.12/32 --permanent 

设置默认区域为home
[root@server1 ~]# firewall-cmd --set-default-zone=home

设置网卡ens33关联默认区域
[root@server1 ~]# firewall-cmd --change-interface=ens33 --zone=home --permanent
[root@server1 ~]# systemctl stop NetworkManager
[root@server1 ~]# firewall-cmd --reload

在这里插入图片描述

查看home区域

[root@server1 ~]# firewall-cmd --list-all
删除home区域关联的SSH服务
[root@server1 ~]# firewall-cmd --zone=home --remove-service=ssh --permanent 
[root@server1 ~]# firewall-cmd --reload 
[root@server1 ~]# firewall-cmd --list-all

在这里插入图片描述

[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
允许192.168.40.12用户访问SSH服务

[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.40.12" service name="ssh" accept"
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

[root@server1 ~]# ssh root@192.168.40.11

在这里插入图片描述

[root@client2 ~]# ssh root@192.168.40.11

在这里插入图片描述

按Firewalld数据处理流程
1.若192.168.40.12源地址关联到特定的区域，则执行该区域所指定的规则
2.若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则
源地址关联（1）优先级大于网卡关联（2，3）优先级

3.允许所有主机访问Apache服务

[root@server1 ~]# yum -y install httpd
[root@server1 ~]# echo "good day." > /var/www/html/index.html
[root@server1 ~]# systemctl start httpd
[root@server1 ~]# firewall-cmd --zone=public --add-service=http --permanent 
success

在这里插入图片描述

[root@server1 ~]# firewall-cmd --zone=home --add-port=80/tcp --permanent 
[root@server1 ~]# firewall-cmd --reload 
[root@server1 ~]# firewall-cmd --list-all
[root@server1 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述

[root@client1 ~]# curl http://192.168.40.11

在这里插入图片描述

五、firewall-config图形工具介绍

firewalld防火墙还提供了图形管理工具firewall-config，可用于查看和更改firewalld防火墙正在运行时的配置和永久的配置，可以使用firewall-config软件包
进行安装使用，安装好后，可以直接使用firewall-config命令启动图形管理工具，或者从菜单“应用程序”→“杂项”→“防火墙”启动，如图：
在这里插入图片描述

例1：配置防火墙的端口转发功能，将访问本地默认区域的80端口临时转发到8080端口