一、什么是防火墙
防火墙:是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
二、防火墙的作用
防火墙选择让符合规则的正常请求通过,过滤掉不符合规则的请求,从而保证网络安全性。
三、Linux中的防火墙分类
CentOS5、CentOS6 使用 iptables 防火墙
CentOS7、CentOS8 使用 firewalld 防火墙
firewalld = fire + wall + daemon
四、firewalld防火墙
1)区域
firewalld增加了区域(zone)的概念,所谓区域是指,firewalld预先准备了几套防火墙策略的集合,类似于策略的模板,用户可以根据需求选择区域。
常见区域及相应策略规则(规则:哪些端口或服务可以通过防火墙,哪些不能通过)
区域 | 默认策略 |
---|---|
trusted | 允许所有数据包 |
home | 拒绝流入的流量,除非与流出的流量相关,允许ssh,mdns,ippclient,amba-client,dhcpv6-client服务通过 |
internal | 等同于home |
work | 拒绝流入的流量,除非与流出的流量相关,允许ssh,ipp-client,dhcpv6-client服务通过 |
public | 拒绝流入的流量,除非与流出的流量相关,允许ssh,dhcpv6-client服务通过 |
external | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
dmz | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
block | 拒绝流入的流量,除非与流出的流量相关,非法流量采取拒绝操作 |
drop | 拒绝流入的流量,除非与流出的流量相关,非法流量采取丢弃操作 |
案例:在Linux(RHEL8)系统中安装httpd
服务(Web服务),httpd占用80
端口。
# yum install httpd -y
# systemctl start httpd
安装完成之后,使用Google输入http://服务器IP地址
即可访问httpd页面
以上问题的原因在于:firewalld防火墙已经把httpd(80端口)屏蔽了,所以没有办法访问这台服务器的80端口(httpd服务)
临时解决办法(关闭防火墙):
# systemctl stop firewalld
再次访问,如下即为成功
五、配置 firewalld 防火墙
1) 查看防火墙的运行状态
# systemctl status firewalld
2)停止防火墙
防火墙一旦停止,其设置的所有规则会全部失效!
# systemctl stop firewalld
3) 启动防火墙
# systemctl start firewalld
4) 防火墙的重启操作
restart = stop + start,重启首先停止服务,然后在重新启动服务
# systemctl restart firewalld
5) 防火墙的重载操作
对防火墙的配置文件做了更改(永久模式),需要使用reload进行重载让其立即生效
reload 并没有停止正在运行的防火墙服务,只是在服务的基础上变换了防火墙规则
# systemctl reload firewalld
6)防火墙设置为开机启动
# systemctl enable firewalld
7)防火墙设置为开机不启动
# systemctl disable firewalld
六、firewalld 管理工具
基本语法:
# firewall-cmd [选项1] [选项2] [...N]
1)查看防火墙默认的区域(zone)
# firewall-cmd --get-default-zone
2)查看所有支持的区域(zones)
# firewall-cmd --get-zones
3)查看当前区域的规则设置
# firewall-cmd --list-all
4)查看所有区域的规则设置
# firewall-cmd --list-all-zones
5)添加允许通过的服务或端口(!)
① 通过服务的名称添加规则
# firewall-cmd --zone=public --add-service=服务的名称
备注:服务必须存储在/usr/lib/firewalld/services目录中
案例:把httpd服务添加到防火墙的规则中,允许通过防火墙
# firewall-cmd --zone=public --add-service=http
案例:把http服务从防火墙规则中移除,不允许其通过防火墙
# firewall-cmd --zone=public --remove-service=http
# firewall-cmd --list-all
② 通过服务的端口号添加规则
# firewall-cmd --zone=public --add-port=端口号/tcp
案例:把80/tcp添加到防火墙规则中,允许通过防火墙
# ss -naltp |grep httpd
httpd :::80
# 允许80端口通过firewalld防火墙
# firewall-cmd --zone=public --add-port=80/tcp
案例:从firewalld防火墙中把80端口的规则移除掉
# firewall-cmd --zone=public --remove-port=80/tcp
6)永久模式permanent
在Linux的新版防火墙firewalld中,其模式一共分为两大类:运行模式(临时模式)+ 永久模式。
运行模式:不会把规则保存到防火墙的配置文件中,设置完成后立即生效==(firewalld默认采用运行模式)==
永久模式:会把规则写入到防火墙的配置文件中,但是其需要reload重载后才会立即生效
# 根据服务名称添加规则(永久)
# firewall-cmd --zone=public --add-service=服务名称 --permanent
# 重新加载配置
# firewall-cmd --reload
# 根据端口号添加规则(永久)
# firewall-cmd --zone=public --add-port=服务占用的端口号 --permanent
# 重新加载配置
# firewall-cmd --reload
案例:把80端口添加到firewalld防火墙规则中,要求永久生效
# firewall-cmd --zone=public --add-port=80/tcp --permanent
# firewall-cmd --reload
# firewall-cmd --list-all