Linux软件防火墙 -- firewalld

防火墙的概念

        防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

作用

        防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

防火墙分类

硬件防火墙：通过硬件和软件的组合，基于硬件的防火墙保护整个内部网络安全。
软件防火墙：通过纯软件，单独使用软件系统来完成防火墙功能，保护安装它的系统。

Linux常用的软件防火墙

        firewalld 和 iptables 都是 Linux 系统中常用的防火墙软件。它们都可以对网络连接进行过滤和管理，提高系统的安全性。

1、因iptables是开源的，就安全系数来讲软件防火墙只能用于辅助硬件防火墙，无法做到真正的安全效果。此外软件防火墙也是需要占用硬件资源运行。

2、firewalld防火墙是Centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。

3、firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

4、firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到，比如云计算)，并且拥有两种配置模式:运行时配置与永久配置。

 

firewalld与iptables 的区别

1、iptables主要是基于接口，来设置规则，从而判断网络的安全性。
      firewalld是基于区域，根据不同的区域来设置不同的规则，从而保证网络的安全。与硬件防火墙的设置相类似。

2、iptables在/etc/ sysconfig/iptables中储存配置,
      firewalld将配置储存在/etc/firewalld/ ( 优先加载)和/usr/lib/ firewalld/ ( 默认的配置文件)中的各种XML文件里。

3、使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
      使用firewalld却不会再创建任何新的规则，仅仅运行规则中的不同之处。因此firewalld可以在运行时间内，改变设置而不丢失现行连接。

4、iptables防火墙类型为静态防火墙,firewalld防火墙类型为动态防火墙

        firewalld 是一种相对于 iptables 更为高级和易用的防火墙软件，可以提供更加方便的管理方式和更多的协议支持。但是，iptables 依然拥有很强的灵活性和可定制性，在某些场景下仍然是一个不错的选择。

firewalld

firewalld区域的概念

firewalld防火墙为了简化管理，将所有网络流量分为多个区域（zone）。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld防火墙9个区域

1、trusted（信任区域）：允许所有的传入流量。
2、public（公共区域）：允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。
3、external（外部区域）：允许与 ssh 预定义服务匹配的传入流量，其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装，可用于为路由器启用了伪装功能的外部网络。
4、home（家庭区域）：允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝
5、internal（内部区域）：默认值时与home区域相同。
6、work（工作区域）：允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝。
7、dmz（隔离区域也称为非军事区域）：允许与 ssh 预定义服务匹配的传入流量，其余均拒绝。
8、block（限制区域）：拒绝所有传入流量。
9、drop（丢弃区域）：丢弃所有传入流量，并且不产生包含ICMP的错误响应。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门，每个区域都具有不同限制程度的规则，只会允许符合规则的流量传入。
可以根据网络规模，使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口。
默认情况下，public区域是默认区域，包含所有接口（网卡）。
 

firewalld数据处理流程

firewalld对于进入系统的数据包，会根据数据包的源IP地址或传入的网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检查的就是其源地址。
 

firewalld检查数据包的源地址规则

1.若源地址关联到特定的区域（即源地址或接口绑定的区域有冲突），则执行该区域所制定的规则。

2.若源地址未关联到特定的区域（即源地址或接口绑定的区域没有冲突），则使用传入网络接口的区域并执行该区域所制定的规则。

3.若网络接口也未关联到特定的区域（即源地址或接口都没有绑定特定的某个区域），则使用默认区域并执行该区域所制定的规则。

区域优先级：

源地址绑定的区域 > 网卡绑定的区域 > 默认区域
（只要没有绑定过指定区域的网卡，都适用于于默认区域的规则。默认区域可自定义，不修改则为public）

firewalld防火墙的配置方法

1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。

firewalld相关命令

systemctl start firewalld.service        #开启防火墙服务区域管理
1、显示当前系统中的默认区域

firewall-cmd --get-default-zone

2、显示默认区域的所有规则
firewall-cmd --list-all

3、显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones

4、设置默认区域
firewall-cmd --set-default-zone=block
firewall-cmd --get-default-zone #查看当前的默认区域。

2、服务管理

1、查看默认区域内允许访问的所有服务
firewall-cmd --list-service    #ssh dhcpv6-client

#dhcpv6-client：通过与DHCPv6服务器进行报文交互,获取IPv6地址

firewall-cmd --get-zone-of-interface=ens33 #显示默认区域的指定网卡

firewall-cmd --set-default-zone=home #修改指定区域

firewall-cmd --zone=home --add-interface=ens33 #给指定接口的区域添加网卡

firewall-cmd --zone=home --change-interface=ens33  #更改指定区域的接口网卡

firewall-cmd --zone=home --remove-interface=ens33 #删除指定区域的网卡

3、切换默认区域，实现ping不通

firewall-cmd --set-default-zone=public

firewall-cmd --set-default-zone=block #需要断开重新ping

firewall-cmd --set-default-zone=public #重新设置区域立即生效

#在没有添加前，需要关闭防火墙，现在加入了可以直接使用

4、添加httpd服务到public 区域

firewall-cmd --add-service=http --zone=public

5、查看public区域已配置规则

firewall-cmd --list-all --zone=public

6、删除public区域的httpd 服务

firewall-cmd --remove-service=http --zone=public

7、添加多个服务

firewall-cmd --add-service=http --add-service=ftp --zone=public #方法一
firewall-cmd  --add-service={ftp,http} #方法二

8、同时添加httpd、ftp服务到默认区域，设置成永久生效

firewall-cmd --add-service=http --add-service=ftp --permanent
firewall-cmd  --add-service={ftp,http} --zone=public --permanent  #两种方式
firewall-cmd --reload	
firewall-cmd --list-all	

添加使用 --permanent选项表示设置成永久生效，需要重新启动firewalld服务或执行firewall-cmd --reload命令，重新加载防火墙规则时才会生效。若不带有此选项，表示用于设置运行时规则，
但是这些规则在系统或firewalld服务重启、停止时配置将失效。

9、删除永久规则

firewall-cmd --remove-service=ftp --zone=public --permanent
firewall-cmd --remove-service=http --zone=public --permanent
firewall-cmd --reload
systemctl restart firewalld.service
firewall-cmd --list-all

10、端口管理

#允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal

#从internal 区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp

#允许UDP的2048~2050端口到默认区域
firewall-cmd --add-port={21,80,23,24}/tcp
firewall-cmd --add-port=30-35/tcp
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all

11、添加源地址进行操作

firewall-cmd --add-source=192.168.233.20 --zone=block
firewall-cmd --get-active-zone
firewall-cmd --remove-source=192.168.233.20 --zone=block
firewall-cmd --get-active-zone