firewalld概述

firewalld概述

firewalld防火墙是Centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPV4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到，比如云计算) 。

firewalld 与 iptables的比较：

1，firewalld可以动态修改单条规则，需要刷新规则后生效，动态管理规则集，允许更新规则而不破坏现有会话和连接。而iptables，规则修改后不刷新也生效只是临时生效，如果规则保存文件中后在修改了规则后必须得全部刷新才可以生效；

2，firewalld使用区域和服务而不是链式规则；

3，firewalld默认是拒绝的，需要设置以后才能放行。而iptables默认是允许的，需要拒绝的才去限制；

4，firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现。也就是说，firewalld和iptables一样，它们的作用都用于维护规则，而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样！

firewalld是iptables的一个封装，可以让你更容易地管理iptables规则。它并不是iptables的替代品，虽然iptables命令仍可用于firewalld，但建议firewalld时仅使用firewalld命令。

区域概念(zone)

firewalld防火墙为了简化管理，将所有网络流量分为多个区域（zone）。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。

区域如同进入主机的安全门，每个区域都具有不同限制程度的规则，只会允许符合规则的流量传入。

可以根据网络规模，使用一个或多个区域，但是任何一个 活跃区域 至少需要关联 源地址或接口。

默认情况下，public区域是默认区域，包含所有接口（网卡）。

1、trusted（信任区域）

允许所有的传入流量。

2、public（公共区域）

允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。

3、external（外部区域）

允许与 ssh 预定义服务匹配的传入流量，其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装，可用于为路由器启用了伪装功能的外部网络。

4、home（家庭区域）

允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。

5、internal（内部区域）

默认值时与home区域相同。

6、work（工作区域）

允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝。

7、dmz（隔离区域也称为非军事区域）

允许与 ssh 预定义服务匹配的传入流量，其余均拒绝。

8、block（限制区域）

拒绝所有传入流量。

9、drop（丢弃区域）

丢弃所有传入流量，并且不产生包含 ICMP的错误响应。

###一个网卡只能关联一个区域，一个区域可以关联多个网卡，任何一个活跃区域至少需要关联源地址或网卡###

#查看所有区域(只显示区域名称)
firewall-cmd --get-zones
#查看所有区域(显示区域配置)
firewall-cmd --list-all-zones
#查看当前正在使用的区域
firewall-cmd --get-active-zones
#查看当前正在使用的区域（显示配置详情）
firewall-cmd --list-all
#查看默认区域
firewall-cmd --get-default-zone
#修改默认区域
firewall-cmd --set-default-zone=opsserver
#新增自定义区域
firewall-cmd --permanent --new-zone=opsserver
#删除自定义区域
firewall-cmd --permanent --delete-zone=opsserver
#区域关联网卡
firewall-cmd --zone=opsserver --add-interface=ens33
#查看网卡关联区域
firewall-cmd --get-zone-of-interface=ens33
#网卡变更关联区域
firewall-cmd --permanent --zone=opsserver --change-interface=ens33
#网卡变更关联区域，以及区域新增关联网卡
firewall-cmd --zone=opsserver --change-interface=ens33 --add-interface=ens36

数据包归入规则

• 若源地址关联到特定的区域，则执行该区域所指定的规则(匹配不到执行默认区域规则)
• 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则（一般来讲，默认区域的规则是拒绝所有）

规则配置

firewalld防火墙规则分为两种状态，一种是runtime(正在运行生效的状态），在runtime状态添加新的防火墙规则，这些规则会立即生效，但是重新加载防火墙配置或者重启系统后这些规则将会失效；一种是permanent（永久生效的状态），在permanent状态添加新的防火墙规则，这些规则不会马上生效，需要重新加载防火墙配置或者重启系统后生效。

在使用firewall-cmd命令管理防火墙时，需要添加为永久生效的规则需要在配置规则时添加--permanent选项（否则所有命令都是作用于runtime，运行时配置）,如果让永久生效规则立即覆盖当前规则生效使用，还需要使用firewall-cmd --reload命令重新加载防火墙配置。

#绑定源地址
firewall-cmd --permanent --zone=allow --add-source=10.4.7.21
#查看内置服务
firewall-cmd --get-services
#允许服务所有访问
firewall-cmd --add-service=http
firewall-cmd --add-service={http,https}
#添加自己手动配置的服务
firewall-cmd --new-service=my-service
firewall-cmd --service=my-service --set-short="My Custom Service" --permanent
firewall-cmd --service=my-service --set-description="Handles incoming traffic for my custom service" --permanent
firewall-cmd --service=my-service --add-protocol="tcp" --permanent
firewall-cmd --service=my-service --add-port=8087 --permanent
#删除服务
firewall-cmd --delete-service=my-service --permanent
#放开特定端口
firewall-cmd --permanent --zone=allow --add-port=8081/tcp
#关闭端口访问权限
firewall-cmd --permanent --zone=public --remove-port=8840-8900/tcp
#代理
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
firewall-cmd --permanent --add-forward-port=port=6666:proto=tcp:toport=3306:toaddr=172.16.1.51
#IP地址伪装
firewall-cmd --add-masquerade
#使规则变更生效
firewall-cmd --reload

rich规则

rich规则比基本的firewalld语法实现更强的功能，不仅实现允许/拒绝，还可以实现日志syslog和auditd，也可以实现端口转发，伪装和限制速率

rich语法：

rule

[source]

[destination]

service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port

[log]

[audit]

[accept|reject|drop|mark]

firewall-cmd  --list-rich-rule --zone=public
firewall-cmd --permanent --zone=public --add-rich-rule="rule priority="100" family="ipv4" port port="8089" protocol="tcp" accept"
firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" port protocol="tcp" port="8840-8900" accept"
firewall-cmd --permanent --zone=public --add-rich-rule="rule priority="100" family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="22" drop"

firewall-cmd --permanent --zone=public --add-rich-rule="rule priority="100" family="ipv4" source address="0.0.0.0/0" port port="8778" protocol="tcp" accept limit value=5/m log prefix="mytest" level=info limit value=50/s audit limit value=50/s"
#priority="100"规则权重
#source address="0.0.0.0/0" 要限制或者放开得源地址 可以是一个地址段 例如172.4.5.0/24
#port port="8778" protocol="tcp"要限制或者放开的端口可以是一个范围，以及对应得协议
#accept limit value=5/m 规则得处置动作 常用得有accept drop reject ,"limit value=5/m"与前面的动作配合使用，限制相应的频率
#log prefix="mytest" level=info limit value=50/s 将规则相应的处置记录到syslog中，prefix定义日志前缀，level定义日志级别常用的有"alert","error","warning","notice","info","debug"，“limit value=50/s”限制日志的记录频率
#audit limit value=50/s 与log类似，记录到日志到audit

man firewalld.richlanguage查看富规则的使用方法