Linux:Firewalld防火墙基础

最新推荐文章于 2024-07-13 23:14:22 发布
最新推荐文章于 2024-07-13 23:14:22 发布
阅读量863 收藏 9
点赞数 9
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T1937085011/article/details/139135537
版权

一、Firewalld概述

Firewalld
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

支持IPv4、IPv6防火墙设置以及以太网桥

支持服务或应用程序直接添加防火墙规则接口

拥有两种配置模式

  • 运行时配置
  • 永久配置

二、Firewalld和iptables的关系

netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

Firewalld/iptables                                                                                                                             

  • CentOS7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态’

Firewalldiptabes
配置文件

/etc/firewalld/

/usr/lib/firewalld/

/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行链接需要全部刷新策略,丢失现行链接
防火墙类型动态防火墙静态防火墙

firewalld防火墙预定义了9个区域:

  • 1trusted(信任区域):允许所有的传入流量。
  • public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
  • external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
  • home(家庭区域):允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
  • internal(内部区域):默认值时与home区域相同。
  • work(工作区域):允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
  • dmz(隔离区域也称为非军事区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
  • block(限制区域):拒绝所有传入流量。
  • drop(丢弃区域):丢弃所有传入流量,并且不产生包含 ICMP的错误响应。

三、Firewalld网络区域

区域介绍

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
  • 默认情况下,public区域是默认区域,包含所有接口(网卡)

Firewalld数据处理流程
检查数据来源的源地址

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

四、Firewalld防火墙的配置方法

命令行工具

查
firewall-cmd --get-default-zone                 查看当前默认区域
             --get-active-zones                 查看当前已激活的区域
			 --get-zones                        查看所有可用的区域
			 --list-all-zones                   查看所有区域的规则
			 --list-all --zone=区域名           查看指定区域的规则
			 --list-services --zone=区域名      查看指定区域允许访问的服务列表
			 --list-ports --zone=区域名         查看指定区域允许访问的端口列表
			 --get-zone-of-interface=网卡名     查看与网卡绑定的区域
			 --get-icmptypes                    查看所有icmp类型
									      
增
firewall-cmd --add-interface=网卡名 --zone=区域名                    给指定区域添加绑定的网卡
             --add-source=源地址 --zone=区域名                       给指定区域添加源地址
			 --add-service=服务名 --zone=区域名                 给指定区域添加允许访问的服务
			 --add-service={服务名1,服务名2,...} --zone=区域名  给指定区域添加允许访问的服务列表
			 --add-port=端口/协议 --zone=区域名                 给指定区域添加允许访问的端口
			 --add-port=端口1-端口2/协议 --zone=区域名    给指定区域添加允许访问的连续的端口列表
			 --add-port={端口1,端口2,...}/协议 --zone=区域名  给指定区域添加允许访问的不连续的端口
			 --add-icmp-block=icmp类型 --zone=区域名           给指定区域添加拒绝访问的icmp类型

删
firewall-cmd --remove-service=服务名 --zone=区域名  
             --remove-port=端口/协议 --zone=区域名
			 --remove-icmp-block=icmp类型 --zone=区域名
			 --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
			 --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

改
firewall-cmd --set-default-zone                            修改当前默认区域
             --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
             --change-source=源地址 --zone=区域名          修改/添加源地址 绑定给指定区域

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

仝泽元
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
Centos7的Firewalld防火墙基础命令详解
01-10
一、Linux防火墙基础 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables...
linux高级篇基础理论六(firewalld防火墙类型,,区域,服务端口,富语言)
一起努力共同进步,为了未来一起奋斗吧!
11-23 412
linux高级篇基础理论六知识点知识包括:firewalld防火墙类型,,区域,服务端口,富语言
LinuxFirewalld防火墙基础原理与实操
著名艺术家
08-04 1349
本章详细讲解了firewalld基础以及如何应用FIREWALLD原理概述Firewalld与Iptables区域详细介绍Firewalld 数据处理流程Firewalld 防火墙的配置方法图形界面Firewalld-config图解实操验证原理实验要求与道具实验开始简述一下实验过程实验验证第二个要求验证第一个要求验证第三个要求验证最后恭喜看我文章的朋友跟我一起学习 FIREWALLD原理概述 ●支持网络区域所定义的网络链接以及接口安全等级的动态 防火墙管理工具 ●支持IPv4、IPv6防火 墙设置以及以
linux防火墙篇--Firewalld防火墙基础
aran2002的博客
05-23 1177
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
Linux——firewalld防火墙(一)
zj2059129607的博客
01-09 1149
firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙. firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥.并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux服务器配置与管理:linux防火墙基础.pptx
05-01
能够描述firewalld防火墙的组成 【思政目标】 培养学生职业素养和信息安全意识。 防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络或网络...
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Linux】进程间通信——匿名管道
2201_76024104的博客
07-08 1154
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
(自用)共享单车服务器(二) 项目日志
weixin_44155149的博客
07-09 969
在通常情况下,Linux/UNIX每个程序在开始运行的时刻,都会打开3个已经打开的stream. 分别用来输入,输出,打印诊断和错误信息。例如,%d{%H:%M:%S,%l} 或 %d{%d %m %Y %H:%M:%S,%l}。上文,我们说过日志输出到终端或者文件中实际上是很慢的,会引起IO中断,所以我们可以输出到内存里StringQueueAppender,然后从StringQueueAppender输出到其它地方,这样我们的线程执行是比较高效的。日志级别的意思是低于该级别的日志不会被记录。
Gunicorn:Python Web应用的高效生产服务器
UnityBoy的博客
07-11 359
在现代Web开发中,部署Python Web应用通常需要一个既高效又可靠的服务器。Gunicorn(Green Unicorn)是一个Python WSGI HTTP服务器,它简单、快速且易于使用,非常适合生产环境。本文将介绍Gunicorn的基本概念、安装方法、配置选项以及如何将其与流行的Web框架集成。
服务器提交记录有Merge branch消除
绿色落日的博客
07-10 292
背景:在共同开发分支release上,你提交了commit,push到服务器上时,发现有人先比你push了,所以你得先pull, 后再push,然而pull后自动产生了一个Merge branch的一个commit,这个commit本身没有任何提交内容,而你直接push到服务器上了,于是服务 器产生了这样的commit log,想要消除服务器上的这条Merge commit,那么可以尝试下面的方法。可以rebase到以前的commit id上,然后:wq保存后,就会消除,再强制提交到服务器覆盖掉。
【银河麒麟服务器操作系统】系统夯死分析及处理建议
银河麒麟操作系统的博客
07-12 682
现象描述:发现系统日志记录了oom问题,但是当时并没有重启系统,系统cpu急剧增加,最终系统夯死。数据库已提供数据库层面分析报告,需要系统层面再进行问题分析排查。。建议,下次遇到此故障情况,观察swap内存交换分区使用情况,排查异常占用swap的具体进程,再进一步分析。
搭建邮局服务器的配置步骤?如何管理协议?
DengHua2203的博客
07-11 634
无论是小型企业还是大型组织,搭建邮局服务器都能有效提升内部通信效率和数据安全性。AokSend,API与SMTP接口助力搭建邮局服务器,稳定高效,轻松管理,让您的邮件系统更强大!
【探索Linux】P.38(传输层 —— TCP协议通信连接管理机制简介 | TCP连接状态转换)
Yawesh的博客
07-10 1124
本文全面总结了TCP协议的通信连接管理机制,包括连接的建立和终止过程。文章详细描述了TCP的状态转换图,阐释了从LISTEN到CLOSED的各个状态及其转换过程。特别地,对TIME_WAIT状态进行了深入分析,解释了其在确保连接可靠终止和防止旧数据干扰中的重要性。同时,讨论了TIME_WAIT状态对系统资源的影响,并提出了优化措施,以提高网络通信的效率和稳定性。
WSGI 服务器教程:`full_dispatch_request` 方法解析
最新发布
jixiaoyu0209的博客
07-13 432
通过本教程,我们详细解析了一个用于 WSGI 服务器的方法,解释了它如何处理请求的前后处理、异常捕获和错误处理,并生成适当的 HTTP 响应。理解这些内容有助于更好地掌握 WSGI 规范,并实现自定义的 WSGI 服务器。希望这篇教程对你有所帮助。更多详细信息和示例请参考官方文档。
linux firewalld防火墙详解
09-24
FirewalldLinux系统中的一种动态防火墙管理工具。它使用底层工具iptables和ip6tables来控制网络流量,并提供了更加易于使用的命令行界面和图形用户界面,方便设置和管理防火墙规则。 一些关于firewalld的基本使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值