firewalld 详解

最新推荐文章于 2024-05-23 22:40:40 发布
最新推荐文章于 2024-05-23 22:40:40 发布
阅读量884 收藏 1
点赞数
文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YFHCSDN/article/details/133694945
版权

 一,firewalld 概念

Firewalld 是一个针对 Linux 系统的动态防火墙管理工具,用于管理和配置网络防火墙。它是 Red Hat 和 CentOS 操作系统中默认的防火墙解决方案。

Firewalld 通过使用网络区域(zones)和服务(services)的概念来简化防火墙规则的管理。以下是一些 Firewalld 的关键概念:

- 区域(Zones):Firewalld 将网络划分为不同的区域,每个区域可以有自己的安全策略和防火墙规则。例如,public、internal、dmz 等都是常见的区域名称。每个区域都有默认的防火墙规则集。
- 服务(Services):Firewalld 使用服务来表示特定的应用程序或服务的网络需求。每个服务定义了一组端口和协议,以及与之关联的防火墙规则。例如,http、ssh、ftp 等都是常见的服务名称。服务可以属于特定的区域。
- 防火墙规则(Rules):Firewalld 使用规则来定义允许或拒绝流量的匹配条件。规则可以根据源 IP、目标 IP、协议、端口等参数进行配置。Firewalld 允许根据区域和服务自动设置预定义的规则,也允许用户自定义规则。
- 运行时和永久性配置:Firewalld 的配置可以分为运行时配置和永久性配置。运行时配置仅在当前会话中生效,并且在重新启动后会被重置为永久性配置。永久性配置则在系统重新启动后保持不变。

除了上述概念之外,Firewalld 还提供了一些命令行工具和图形界面工具,用于管理防火墙的配置。例如,firewall-cmd 命令用于通过命令行操作 Firewalld,而 firewall-config 工具提供了一个图形界面来简化配置过程。

Firewalld 提供了更加灵活和动态的方式来管理防火墙规则,使管理员能够根据实际需求轻松调整和更新防火墙策略,同时保持系统的安全性。

二,firewalld 命令

Firewalld 是 Linux 系统中的一个动态防火墙管理工具,提供了一系列的命令来方便地控制防火墙的配置和策略。

以下是关于 Firewalld 命令的详细解释:

  •  `firewall-cmd`:Firewalld 的主要命令行工具,用于配置和管理防火墙。
  •    - `--get-default-zone`:查看默认区域。
  •    - `--get-active-zone`:查看活动区域。
  •    - `--set-default-zone=<zone>`:设置默认区域为 `<zone>`。
  •    - `--reload`:重新加载防火墙配置。
  •    - `--add-service=<service> [--zone=<zone>]`:将 `<service>` 添加到指定区域(默认为 public)的服务列表中。
  •    - `--remove-service=<service> [--zone=<zone>]`:从指定区域(默认为 public)的服务列表中删除 `<service>`。
  •    - `--list-services [--zone=<zone>]`:列出指定区域(默认为 public)的所有服务。
  •    - `--add-port=<port>/[<protocol>] [--zone=<zone>]`:在指定区域(默认为 public)打开指定端口和协议的防火墙。
  •    - `--remove-port=<port>/[<protocol>] [--zone=<zone>]`:关闭指定区域(默认为 public)的指定端口和协议的防火墙。
  •    - `--list-ports [--zone=<zone>]`:列出指定区域(默认为 public)的所有开放端口。
  •    - `--add-source=<source> [--zone=<zone>]`:将 `<source>` 添加到指定区域(默认为 public)的源地址列表中。
  •    - `--remove-source=<source> [--zone=<zone>]`:从指定区域(默认为 public)的源地址列表中删除 `<source>`。
  •    - `--list-sources [--zone=<zone>]`:列出指定区域(默认为 public)的所有源地址。
  •    - `--query-service=<service> [--zone=<zone>]`:查询指定区域(默认为 public)是否允许访问 `<service>`。
  •    - `--query-port=<port>/[<protocol>] [--zone=<zone>]`:查询指定区域(默认为 public)是否允许访问指定端口和协议。
  •    - `--query-source=<source> [--zone=<zone>]`:查询指定区域(默认为 public)是否允许 `<source>` 访问。
  • `firewall-config`:Firewalld 的图形界面工具,用于更方便地配置防火墙。可以在终端中输入 `sudo firewall-config` 来启动。
  •  `firewall-cmd.service`:Firewalld 的服务文件,负责在系统启动时加载防火墙配置。可以使用以下命令控制该服务的状态:
  •    - `systemctl start firewall-cmd.service`:启动服务。
  •    - `systemctl stop firewall-cmd.service`:停止服务。
  •    - `systemctl enable firewall-cmd.service`:设置服务在系统启动时自动启动。
  •    - `systemctl disable firewall-cmd.service`:禁止服务在系统启动时自动启动。

Firewalld 的命令非常丰富,可以实现非常灵活的防火墙策略。但是使用之前,请务必了解规则的含义和影响,并且根据系统需求精确配置。

 三,firewalld 规则持久化

irewalld 提供了一种持久化防火墙规则的方法,以确保在系统重启后仍然生效。可以使用以下步骤来持久化 Firewalld 的规则:

1. 确保 firewalld 服务已经启用,并且正在运行:

   systemctl enable firewalld

   systemctl start firewalld

2. 编辑 Firewalld 规则持久化配置文件 `etc/firewalld/firewalld.conf`:

   sudo vi /etc/firewalld/firewalld.conf

3. 在配置文件中找到并确认 `PersistFirewall=permanent`,确保该行的值设置为 `permanent`,表示启用持久化规则。

4. 保存并关闭配置文件。

5. 对于每个区域(例如 `public`、`trusted`、`home` 等),将当前的防火墙配置保存为永久规则:

   firewall-cmd --zone=<zone> --permanent --add-service=<service>

   firewall-cmd --zone=<zone> --permanent --add-port=<port>/[<protocol>]

   firewall-cmd --zone=<zone> --permanent --add-source=<source>

   注意,`<zone>` 是区域名称,可以是 `public`、`trusted`、`home` 等,`<service>` 是服务名称,`<port>` 是端口号,`<protocol>` 是协议(可选)。

6. 如果需要删除已保存的规则,可以使用相应的 `--remove` 命令:

   firewall-cmd --zone=<zone> --permanent --remove-service=<service>

   firewall-cmd --zone=<zone> --permanent --remove-port=<port>/[<protocol>]

   firewall-cmd --zone=<zone> --permanent --remove-source=<source>

7. 最后,重新加载防火墙配置以使持久化规则生效:

   firewall-cmd --reload

完成以上步骤后,您的 Firewalld 规则将在系统重启后保持不变,并自动应用于防火墙配置。请注意,在修改持久化规则后,需要使用 `firewall-cmd --reload` 命令重新加载配置才能使更改生效。

 四,SElinux 内核防火墙

SELinux 和内核防火墙是 Linux 操作系统中用于增强安全性的两个主要组件。

SELinux 是一个强制访问控制(MAC)系统,它在内核层面实施了一个安全策略来限制进程和用户的访问权限。这种安全策略是基于角色、类型和安全上下文等因素来进行的。与传统的自由访问控制(DAC)系统不同,管理员可以对系统中的每个对象分配一个唯一的安全上下文,并限制其他对象使用这些对象的方式。SELinux 可以保护系统免受许多攻击类型,例如缓冲区溢出、提权攻击、恶意软件等。

内核防火墙是 Linux 内核中的一个网络策略机制,可以限制网络通信的流量。它能够筛选并且修改进出主机的网络数据包。内核防火墙通过规则(或策略)来显式地定义哪些数据包被允许通过,哪些被阻止。例如,您可以配置内核防火墙以仅允许特定 IP 地址的流量通过特定端口,并且拒绝任何来自未授权 IP 地址的流量。内核防火墙旨在控制整个主机的网络通信,而不是仅控制特定应用程序或进程的网络通信。

总之,SELinux 和内核防火墙都是 Linux 操作系统中的关键安全组件,可以帮助保护系统免受未授权的访问和网络攻击。管理员可以根据实际需求选择启用哪个或同时使用两者。

要在Linux系统中持久化关闭 SELinux(setenforce),可以按照以下步骤进行操作:

1. 打开 `selinux` 配置文件以编辑。在大多数发行版中,该文件位于 `/etc/selinux/config`。

   
   sudo vi /etc/selinux/config
 

2. 在打开的文件中,找到并更改 `SELINUX` 的值为 `disabled`,即禁用 SELinux。


   # This file controls the state of SELinux on the system.
  
   SELINUX=disabled
 

3. 保存并关闭文件。

4. 如果您的系统当前正在运行 SELinux,重启系统以使更改生效。


   sudo reboot
 

5. 系统重新启动后,SELinux 将会被持久化关闭。

请注意,禁用 SELinux 可能会降低系统的安全性,因此在执行此操作之前,请确保您对系统的其他安全措施进行了评估和加固,以确保系统的安全性不会受到过大的影响。

梦的骑士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1863
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
详解CentOS7使用firewalld打开关闭防火墙与端口
09-15
本篇文章主要介绍了CentOS7使用firewalld打开关闭防火墙与端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Linux CentOS 8(firewalld的配置与管理)
正月十六工作室
10-24 3425
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
linux防火墙篇--Firewalld防火墙基础
最新发布
aran2002的博客
05-23 1109
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
centos7的firewalld防火墙有区域的概念,默认有下面九个区域,各自的作用如下
qq_46319647的博客
05-16 536
centos7新的firewalld防火墙有区域的概念,默认有下面九个区域,各自的作用如下使用firewall-cmd命令来对防火墙进行配置,经常使用的参数如下如果想让更改的规则永久生效,那么就需要在firewall-cmd命令后面加入规则添加完了,以后在使用让规则生效如果添加的规则,没有添加这个参数,那么系统重启后,新增加的规则就会失效使用下面的命令启动和停止防火墙查看系统当前正在使用的区域和关联的网卡查看指定区域的详细配置,本例查看的是trusted区域。
linux的Firewalld防火墙概述
weixin_51725822的博客
02-25 735
linux防火墙之firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程二、firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
Linux——firewalld防火墙(一)
zj2059129607的博客
01-09 1143
firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙. firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥.并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
firewalld详解
爱死亡机器人
03-16 809
firewalld (1)我应该选用哪个区域? 例如,公共的 WIFI 连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。 如何配置或者增加区域? 你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具,以及D-...
Firewalld 防火墙详解
热门推荐
shenyuanhaojie的博客
09-19 4万+
文章目录1. firewalld 防火墙简介1.1 firewalld 是什么1.2 什么是动态防火墙1.3 firewalld 和 iptables 之间的关系 1. firewalld 防火墙简介 1.1 firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 1.2 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下 iptables service 管
【第七章】iptables和firewall防火墙技术
dqforgive的博客
07-07 1287
四种方法配置网卡 1、编辑配置文件 [root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no NAME=eno16777736 //网卡名
firewall命令行详解
m0_59278919的博客
04-19 1059
开放指定端口 firewall-cmd --zone=public --add-port=8085/tcp --permanent 命令含义: --zone #作用域 --add-port=8085/tcp #添加端口,格式为:端口/通讯协议 --permanent #永久生效,没有此参数重启后失效。7、关闭防火墙端口:firewall-cmd --remove-port=8085/tcp --permanent。4、查询对应端口号:firewall-cmd --query-port=8085/tcp。
centos7 firewalld详解,添加删除策略.docx
12-23
centos7 firewalld详解,超级详细
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
Linux进阶篇:firewalld详解——firewalld 的概念&作用以及如何使用
qq_39241682的博客
04-08 1816
firewalld(防火墙守护程序)是Linux发行版中一款用于管理网络防火墙的动态守护程序。它提供了一个命令行和图形用户界面,用于配置和管理系统的防火墙规则。firewalld使用iptables、ip6tables、ebtables和nftables作为后端来处理网络数据包。它允许您在不需要重启防火墙或停止网络服务的情况下,实时更改防火墙规则。本文详细介绍了 Linux 中的 firewalld,包括其基本概念、作用和如何使用它来保护系统。
Firewalld常用命令整理
m0_56375711的博客
03-14 2287
防火墙的配置在网络安全领域十分重要,无论你是想为公司的防火墙配置入站出站规则防止恶意流量进入,还是当发现恶意流量之后要对恶意流量的来源IP进行封锁,都会使用到防火墙的配置规则。当然配置规则的方法有很多,可以直接写在防火墙的配置文件中,也可以通过iptable进行配置,本文主要整理了一下firewalld对防火墙进行配置的常用命令,以后在学习和工作中方便查看。
防火墙设置
c2unix的专栏
08-10 162
###检测频率可以调整计划任务的循环时间,单IP的并发数限制可以在第一行的‘Where-Object({$_.Count -ge 50}’ 50可以自己调整。echo "对不起,规则 $RULE_NAME 已经存在"echo "规则 $RULE_NAME 创建中..."#$ip=Read-Host "请输入要禁止的IP"####以上内容另存为一个'自动发现.PS1'文件。####以下内容另存为一个'自动禁止.PS1'文件。echo "不能操作私网IP"echo "数据错误"...
linux 防火墙firewall详解
qq_33805862的博客
01-11 1189
引用:https://www.cnblogs.com/excelib/p/5155951.html。
linux防火墙Firewalld 速通与常见配置
小渣渣的学习与运维日常
09-12 847
在使用Firewalld时,了解其常见配置和名称是非常重要的,因为这有助于您更好地控制网络访问和确保系统的安全性。了解这些常见配置和名称将使你能够更好地管理Firewalld,并确保系统的安全性,以适应你的特定网络环境和需求。这些命令配置了一个定时规则,允许在工作日(星期一至星期五)的上午9点到下午5点之间的任何IP地址的流量访问SSH服务。这是一个最小权限原则的应用,确保只有必要的流量能够进入系统,而不必要的流量被拒绝。限制特定IP地址的访问可以增加系统的安全性,确保只有授权的主机能够连接到你的服务。
firewalld命令详解
09-15
firewalld是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙。它是工作在网络层的包过滤防火墙,用来定义防火墙的各种规则功能。firewalld和iptables都是用来管理防火墙的工具,但是它们的内部结构不同。firewalld指向netfilter网络过滤子系统来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPV4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。 相比于iptables,firewalld的位置不同。iptables工作在内核态,而firewalld工作在用户态。这使得firewalld更加灵活和易于管理,可以动态地添加、删除和修改防火墙规则,而无需重启防火墙服务。此外,firewalld通过网络区域的概念来管理不同网络连接的安全级别,提供了更加细粒度的控制。 如果您需要更多关于firewalld的详细信息和使用说明,您可以查看firewall-cmd命令的帮助文档,使用命令[root@localhost ~]# firewall-cmd --help。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值