Linux中防火墙firewalld
一、什么是防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
二、防火墙的作用
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
三、Linux中的防火墙分类
CentOS5、CentOS6 => 防火墙 => iptables防火墙
CentOS7 => 防火墙 => firewalld防火墙
firewalld = fire火 wall墙 daemon守护进程
四、firewalld防火墙
1、 区域
firewalld增加了区域(zone)的概念,所谓区域是指,firewalld预先准备了几套防火墙策略的集合,类似于策略的模板,用户可以根据需求选择区域。
常见区域及相应策略规则
(规则:哪些端口或服务可以通过防火墙,哪些不能通过)
区域 | 默认策略 |
---|---|
trusted | 允许所有数据包 |
home | 拒绝流入的流量,除非与流出的流量相关,允许ssh,mdns,ippclient,amba-client,dhcpv6-client服务通过 |
internal | 等同于home |
work | 拒绝流入的流量,除非与流出的流量相关,允许ssh,ipp-client,dhcpv6-client服务通过 |
public | 拒绝流入的流量,除非与流出的流量相关,允许ssh,dhcpv6-client服务通过 |
external | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
dmz | 拒绝流入的流量,除非与流出的流量相关,允许ssh服务通过 |
block | 拒绝流入的流量,除非与流出的流量相关,非法流量采取拒绝操作 |
drop | 拒绝流入的流量,除非与流出的流量相关,非法流量采取丢弃操作 |
案例:在Linux系统中安装httpd服务(Web服务),占用计算机的80端口
# yum install httpd -y
# systemctl start httpd
以上操作只能使用Google浏览器、360浏览器或者Firefox火狐浏览器,一定不要使用IE
以上问题的原因在于:firewalld防火墙已经把httpd(80端口)屏蔽了,所以没有办法访问这台服务器的80端口(httpd服务)
临时解决办法:
# systemctl stop firewalld
此时网页就可以打开了
2、运行模式和永久模式
运行模式:此模式下,配置的防火墙策略立即生效,但是不写入配置文件
永久模式:此模式下,配置的防火墙策略写入配置文件,但是需要reload重新加载才能生效。
firewalld默认采用运行模式
五、防火墙设置
1、防火墙的启动、停止以及查看运行状态
查看运行状态
# systemctl status firewalld
停止防火墙(学习环境任意操作,生产环境一定不要停止防火墙)
# systemctl stop firewalld
启动防火墙
# systemctl start firewalld
2、防火墙重启与重载操作
重启操作
# systemctl restart firewalld
重载操作
# systemctl reload firewalld
我们对防火墙的配置文件做了更改(永久模式),需要使用reload进行重载让其立即生效
reload并没有停止正在运行的防火墙服务,只是在服务的基础上变换了防火墙规则
3、把防火墙设置为开机启动与开机不启动
开机启动
# systemctl enable firewalld
开机不启动
# systemctl disable firewalld
六、firewalld防火墙规则
1、firewalld管理工具
基本语法:
# firewall-cmd [选项1] [选项2] [...N]
2、查看防火墙默认的区域(zone)
# firewall-cmd --get-default-zone
运行效果:
3、查看所有支持的区域(zones)
# firewall-cmd --get-zones
运行结果:
为什么要有区域的概念:其实不同的区域就是不同的规则
4、 查看当前区域的规则设置
# firewall-cmd --list-all
5、查看所有区域的规则设置
# firewall-cmd --list-all-zones
6、添加允许通过的服务或端口
1)通过服务的名称添加规则
# firewall-cmd --zone=public --add-service=服务的名称
备注:服务必须存储在/usr/lib/firewalld/services目录中
案例:把http服务添加到防火墙的规则中,允许通过防火墙
# firewall-cmd --zone=public --add-service=http
把http服务从防火墙规则中移除,不允许其通过防火墙
# firewall-cmd --zone=public --remove-service=http
# firewall-cmd --list-all
2) 通过服务的端口号添加规则
# firewall-cmd --zone=public --add-port=端口号/tcp
案例:把80/tcp添加到防火墙规则中,允许通过防火墙
# ss -naltp |grep httpd
httpd :::80
# 允许80端口通过firewalld防火墙
# firewall-cmd --zone=public --add-port=80/tcp
案例:从firewalld防火墙中把80端口的规则移除掉
# firewall-cmd --zone=public --remove-port=80/tcp
7、永久模式permanent
在Linux的新版防火墙firewalld中,其模式一共分为两大类:运行模式(临时模式)+ 永久模式。
运行模式:不会把规则保存到防火墙的配置文件中,设置完成后立即生效
永久模式:会把规则写入到防火墙的配置文件中,但是其需要reload重载后才会立即生效
# 根据服务名称添加规则(永久)
# firewall-cmd --zone=public --add-service=服务名称 --permanent
# firewall-cmd --reload
# 根据端口号添加规则(永久)
# firewall-cmd --zone=public --add-port=服务占用的端口号 --permanent
# firewall-cmd --reload
案例:把80端口添加到firewalld防火墙规则中,要求永久生效
# firewall-cmd --zone=public --add-port=80/tcp --permanent
# firewall-cmd --reload
# firewall-cmd --list-all