firewalld防火墙

最新推荐文章于 2024-07-11 15:11:14 发布
最新推荐文章于 2024-07-11 15:11:14 发布
阅读量293 收藏 1
点赞数
分类专栏: firewalld 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RunzIyy/article/details/104540031
版权

1. 防火墙的相关知识

​ 1)软件级(类似于寄居架构):安装在操作系统上的程序
​ 优点:工作在应用层,功能非常强大,可以对IP地址进行过滤,还可以针对用户名进行过滤、组进行过滤。
​ 缺点:工作在应用层,代理级的。对包的执行效率非常低。; 兼容性问题,安全漏洞问题,
​ 常见的防火墙: Windows: ISA2012 、天网
​ Linux: iptables、firewall

​ 2)硬件级(类似于远程架构):独立的硬件,嵌入式的操作系统,这个操作系统本身就是防火墙,不需要开启那么多的功能磨合那么多的接口,只开启跟防火墙相对的功能和接口,所以相对来说稳定一些
​ 优点: 稳定、高效,根据数据包里的信息过滤,解决兼容性问题,解决安全漏洞问题,成本降低,根据用户全体提升性能。作为网络安全防护的主要设备。
​ 缺点:功能没有软件级那么强大。

常见的硬件级防火墙:
	华为、思科、深信服飞塔、中新金盾、天融信、绿盟科技、Juniper、启明星辰、网康、安氏领信、NETGEAR

2、按功能分类

>	​	1)包过滤型防火墙:抓取通过设备的数据包,对数据流层的内容进行分析,服务端口,目标IP、源IP、MAC地址等信息
>
>	​	2)应用层防火墙:工作在应用层,可以对应用层的很多软件进行监听和保护。对信息类的数据进行监控分析,对传输的文件类型进行监控。
>
>	​	3)包检测性防火墙:抓取用户的访问请求,预判用户的下一步动作,并对动作进行监听。
>
>	​	4)网络行为管理防火墙:上网行为监控,域名访问记录,软件访问记录,搜索记录,论坛消息记录,qq微信等聊天软件消息记录,电子邮件等(华为称之为下一代防火墙)

3. 根据存放位置分类

​ 1)网络型防火墙: 根据所处的位置:前端/后端/背靠背/双宿主/三宿主
​ 多数指的是网络中硬件防火墙,保护局域网中的所有主机,很对于网络。

​ 2)主机防火墙
​ 多数指的系统的软件防火墙,只保护本地主机

3.firewall防火墙规则
​ firewall:用户态,规则列表,为netfilter提供命令/规则工具,有用户定义
​ netfilter:内核态,内核模块。提供数据转发,丢弃等功能/执行规则,接受数据包,封装数据包,转发数据包,丢弃数据包,系统内核对数据包的处理机制。

4. 钩子函数

	钩子函数是在一个事件触发的时候,在系统级捕捉到他,然后 做出来 一些操作,一段用以处理系统消息的程序,“钩子”就是在某个阶段给你一个某些处理的机会。
​	firewall和netfilter钩子函数(hook function)
​	prerouting:路由之前检测
​	input:入站
​	output:出站
​	forward:转发
​	postrouting:路由之后检测

5. 规则链

	在firewall中设置的数据过滤负责或处理数据包的策略叫作规则,将多个规则合成一个规则链。
​	firewall和netfilter利用五种钩子函数存放过滤规则
​	PREOUTING : 路由之前检测(DNAT),发布内网服务器(路由选择前处理数据包,目标地址转换)
​	INPUT:入站(数据包目标地址是firewalld本身,主机型防火墙)
​	OUTPUT:出站(数据包目标地址是firewalld本身,主机型防火墙)
​	FORWARD:转发(数据包目标地址是firewalld之外的应用程序服务器)
​	POSTROUTING:路由之后检测(SNAT)PAT(路由选择后处理数据包,源地址转换)

6. 表:(规则链存放在表中;规则链存放过滤规则),叫作规则表

filter表:过滤表,确实是否放行数据包,包括INPUT,OUTPUT,FORWARD链
mangle表:为数据包做标记,数据包需要做什么,包括 INPUT,OUTING,PREROUTING ,POSTROUTING,FORWARD
net表:	地址转换表,包括PREROUTING,POSTROUING,OUTPUT链
raw表:	确定是否对该数据包进行状态跟踪包括PREROUTING,OUTPUT

7. firewalld站点:

	1)增加了网络区域安全设置,网络区域中可以放入接口,不同的区域设置了不同的安全级别
​	2)支持ipv4和ipv6两种策略表
​	3)支持服务或应用程序直接添加在防火墙规则接口,
​	4)支持两种配置模式:运行时配置(临时),永久配置

8. 数据包处理方式:

	1)数据包中的源地址首先匹配特定区域如果满足规则,则执行数据包处理动作(接口加入到安全区域的状态)
​	2)接口未加入到指定的安全区域,数据包中的源地址则无法匹配指定区域规则,则使用接口的本地区域规则进行数据包处理动作
​	3)数据包的源地址无法匹配接口规则时,则使用默认区域规则处理数据包。

9. 预定义1区域

	trusted(信任区域)		可以接收所有网络的数据
​	public(公共区域)		允许输出	拒绝输出,除 ssh、dhcpv6-client
​	work(工作区域)			拒绝输入
​	home(家庭区域)			拒绝输入
​	internal(内部区域)		允许输出
​	external(外部区域)		允许输出
​	dmz(隔离区域)			拒绝输入
​	block(限制区域)			拒绝输入
​	drop(丢弃区域)			拒绝输入
行走的猫儿
关注
专栏目录
firewalld防火墙设置详解
悦分享
01-08 980
Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。
firewalld网络防护:Linux系统中firewalld防火墙的基本使用
彭淦淦的博客
05-14 403
3.1 问题 本例要求掌握Linux系统中firewalld防火墙的基本使用,完成下列任务。 启用防火墙firewalld服务 确认默认安全区为public 设置策略允许访问httpd服务 设置策略允许访问本机的 tcp/82端口 上述配置,要求在此系统重启后仍然有效 3.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:启用firewalld防火墙服务 确保防火墙服务已启动: 步骤二:配置防火墙策略 1)打开firewall-config配置工具 需要切换到图形模式,并以root
Firewalld的结构
denghe6366的博客
07-20 180
原文地址:http://www.excelib.com/article/287/show firewalld简介 Centos7中默认将原来的防火墙iptables升级为了firewalldfirewalld跟iptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、fire...
深入解析Linux Firewalld:架构、原理、应用与实战指南
最新发布
CloudJourney的博客
07-11 881
本文通过对firewalld的定义、架构、原理、应用场景和命令体系的详细介绍,以及实战模拟的演示,希望能够帮助读者更好地理解和使用firewalld,提高系统的安全性。firewalldLinux系统中的一个动态防火墙管理工具,它使用D-Bus接口与系统通信,允许管理员动态地添加、删除或修改防火墙规则,而无需重新启动防火墙服务。在服务器上,firewalld可以保护系统免受未经授权的访问。防火墙区域是firewalld的核心概念之一,它将网络连接分类到不同的区域,每个区域应用不同的防火墙规则。
Firewalld防火墙
weixin_60917414的博客
05-23 2875
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙firewalld与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能firewalld防火墙最大的优点在于支持动态更新以及加入了防火墙的‘zone’概念。
Firewalld防火墙基础
rqaz123的博客
05-23 304
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
防火墙控制Docker端口开放与关闭
热门推荐
weixin_43876317的博客
01-17 1万+
1.问题描述 docker下的oracle数据库服务存在漏洞解决难度较高,于是通过firewalld限制高危端口开放,只允许本机访问。发现即使firewalld把oracle 1521漏洞不开放出去,但其他服务器依然能访问这给服务器的1521端口,也就是说firewalld配置的规则失效。 2.解决办法 docker配置文件中添加 “iptables”: false [root@localhost ~]# vi /etc/docker/daemon.json { "data-root": "/op
政务云CentOS 7 firewalld 防火墙设置
qq_16557863的博客
05-25 391
起因:我司某地的政务云环境,被通报一些安全漏洞,需要开启防火墙策略,但同事反馈,打开防火墙开关后,ssh会被策略直接拦截。考虑应该是ssh端口未在防火墙的初始化策略中,但要使用firewall-cmd,就必须开启防火墙,于是产生了一个使用悖论。修改文件中port的值为“22222” <port protocol="tcp" port="22222"/>综上,是因为政务云的ssh端口不是默认的22导致的,可以通过直接修改防火墙的策略文件来解决这个问题。第二步,在防火墙的策略文件中,预添加需要开放的端口
Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 5274
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
Linux系统通过firewall限制或开放端口
不会吉他的肌肉男不是好的挨踢男的专栏
08-27 3853
一、查看防火墙状态 1、首先查看防火墙是否开启,如未开启,需要先开启防火墙并作开机自启 systemctl status firewalld 这是关闭的状态 这是开启状态 开启防火墙并设置开机自启 systemctl start firewalld systemctl enable firewalld 二、开放或限制端口 1、开放端口 (1)比如我们需要开启XShell连接时需要使用的22端口 firewall-cmd --zone=public --add-port=22/tcp --perman
理论+实操 :linuxfirewalld防火墙基础————理论讲解
Lfwthotpt的博客
12-09 1184
文章目录iptables一 : 什么是iptables二 : 四表五链2.1 具体的四表2.2 具体的五链2.3 四表五链之间的关系三 : iptables语法格式一 : firewalld 概述1.1 firewalld 简介1.2 linux 6 跟 linux 7 之间的区别二 : firewalld 和 iptales 的关系2.1 netfilter2.2 firewalld/iptab...
Firewalld防火墙应用
weixin_30436891的博客
07-20 92
Firewalld防火墙应用 重点: 一、概述; 概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具; 差异点: 前者:iptables 防火墙: iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init...
Linux--firewalld防火墙字符管理工具(防火墙维护和状态查询命令,重载配置,区域操作,服务操作,端口操作,阻塞ICMP操作命令详解与总结)
CN_TangZheng的博客
12-09 1005
firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则 - firewalld防火墙规则分为两种状态: 一种是runtime,指正在运行生效的状态,在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者再重启系统后这些规则将会失效 - 另一种是permanent,指永久生效的状态,在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效
Centos防火墙firewalld
sunny05296的博客
02-21 1392
1.firewalld简介 firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。 firewalld有图形界面和命令行界面。firewalld命令行管理命令是firewall-cmd。 firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值