Linux防火墙之firewalld

最新推荐文章于 2022-07-15 17:33:05 发布
最新推荐文章于 2022-07-15 17:33:05 发布
阅读量226 收藏
点赞数
分类专栏: iptables 文章标签: firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36586867/article/details/82623508
版权

一、什么是firewalld?

从CentOS7版本开始使用了firewall防火墙服务,7版本里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统。firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld 使用 python 语言开发,在新版本中已经计划使用 c++ 重写 daemon 部分。

firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样。

  • firewalld与iptables:
  1. firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;
  2. firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。
  3. firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。
  4. firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现

二、firewalld服务基础

1.1 firewalld防火墙体系

1.1.1 一个重要的概念:区域管理

  •  /etc/sysconfig/iptables 中储存规则配置
  • firewalld 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里
  • 在/etc/firewalld/的区域设定是一系列可以被快速执行到网络接口的预设定
  • 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。有如下几种不同的初始化区域(默认为public区域):
  1. 阻塞区域(block):任何传入的网络数据包都将被阻止
  2. 工作区域(work):相信网络上的其他计算机,不会损害你的计算机
  3. 家庭区域(home):相信网络上的其他计算机,不会损害你的计算机
  4. 公共区域(public):不相信网络上的任何计算机,有选择接受入口的网络连接
  5. 隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,有选择接受入口的网络连接
  6. 信任区域(trusted):所有的网络连接都接受
  7. 丢弃区域(drop):任何的网络连接都被拒绝
  8. 内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接
  9. 外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接

1.1.2 配置firewalld

  • firewalld的配置方法主要有三种:
  1. firewall-config &    //图形化管理工具
  2. firewall-cmd    //命令行管理工具
  3. 直接编辑xml文件    //修改配置文件 /usr/lib/firewalld/zones/
  • 启动:# systemctl start firewalld
  • 查看状态:# systemctl status firewalld 或者 firewall-cmd --state
  • 停止:# systemctl disable firewalld
  • 禁用:# systemctl stop firewalld
  • 查看版本:firewall-cmd --version
  • 查看帮助: firewall-cmd --help
  • 显示状态: firewall-cmd --state
  • 查看区域信息: firewall-cmd --get-active-zones
  • 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
  • 永久生效再加上:--permanent
  • 拒绝所有: firewall-cmd --panic-on
  • 取消拒绝状态: firewall-cmd --panic-off
  • 查看是否拒绝: firewall-cmd --query-panic
  • 查看所有打开的端口:firewall-cmd --zone=dmz --list-ports
  • 加入一个端口到区域:firewall-cmd --zone=dmz --add-port=8080/tcp
  • 更新防火墙规则: firewall-cmd --reload  firewall-cmd --complete-reload  两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务
  • 将接口添加到区域,默认接口都在public:firewall-cmd --zone=public --add-interface=eth0
  • 移除服务:firewall-cmd --zone=work --remove-service=smtp
  • 查看防火墙规则列表:
  1. firewall-cmd --list-all [ --zone=区域名 ]
  2. firewall-cmd --list-all-zones
  3. firewall-cmd --get-zones
  4. firewall-cmd --get-services
  5. firewall-cmd --get-default-zone
  • 指定默认的安全区域
  1. firewall-cmd --set-default-zone=trusted
  • 隔离网段
  1. firewall-cmd --permanent --zone=block --add-source=172.34.0.0/24
  • 添加服务
  1. firewall-cmd --permanent --zone=public --add-service=http
  2. firewall-cmd --reload    //重载配置
  • 端口映射
  1. firewall-cmd --permanent --zone=trusted --add-forward-port=port=8888:proto=tcp:toport=80
  2. firewall-cmd --reload    //重载配置

 

 

 

 

 

 

 

旧时光下的浮影
关注
专栏目录
linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
Linux防火墙构建DMZ
Kendiv's Box
11-20 2901
Linux防火墙构建DMZ摘要    针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器
Linux系统 iptables 和 firewalld 的那些事
IHBOS的博客
03-22 249
Linux系统 firewalld防火墙一、firewalld概述二、firewalld 与 iptables 的区别三、firewalld 区域的概念1.firewalld防火墙预定义了9个区域四、firewalld数据处理流程1.firewalld检查数据包的源地址的规则五、firewalld防火墙配置方法1.常用的firewall-cmd 命令选项六、区域管理七、服务管理八、端口管理 一、firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的ipt
Firewalld
ly的博客
12-02 435
一,什么是防火墙防火墙的工作原理? 防火墙是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。原理: 防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公
firewalld
weixin_34414650的博客
02-12 136
1、查看firewalld防火墙自带的区域名 [root@web ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work 2、查看当前使用的默认区域 [root@web ~]# firewall-cmd --get-default-zone public 3、查看某区域...
firewalld 是什么?提供什么功能?如何使用?
ovowovo的博客
02-25 485
firewalld 相关链接: https://firewalld.org/ What is firewalld? Firewalld provides a dynamically managed firewall with support for network/firewall zones that define the trust level of network connections o...
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
linux防火墙firewalld
weixin_62452835的博客
01-03 357
linux防火墙firewalld 一、firewalld 概述 1、firewalld firewalld防火墙是centos7系统默认的防火墙管理工具取代了之前的iptables防火墙 * 工作在网络层、属于包括过滤防火墙 firewalld和iptables都是用来管理防火墙工具(属于用户状态)来定义防火墙的各种规则功能 * 内部结构都指向netfilter网络过滤子系统(属于内状态)来实现包过滤防火墙firewalld提供了支持网路区域所定义的网络链接以及接口安全等级的动态的防火墙管理工具
Linux防火墙firewalld和iptables
day day up
07-15 2620
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Firewalld概述
m0_55614372的博客
07-14 920
一、Firewalld概述 1.firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 2.firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 二、firewalld与iptables 的区别 1.ipta...
firewalld管理方式
ly_qiu的博客
07-01 322
因为刚练习完iptables的内容,所以此处需要先打开firewalld 1 firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewalld 2.关于firewalld的域 trusted 接受所有的网络连接 home 用于家庭网络,允许接受ssh mdn
firewalld防火墙基础
qjwthink的博客
12-07 3735
目录 一、安全技术 1、不同的安全技术 二、Linux防火墙的介绍 1、Netfilter 2、防火墙工具 三、firewalld服务 1、什么是firewalld 2、firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则 3、firewalld中zone 分类 四、命令行配置 1、基础命令 2、区域管理 3、服务管理 4、端口管理 一、安全技术 1、不同的安全技术 ·入侵检测系统(Intrusion Detection Systems)︰特点
管理firewalld
浩瀚星辰
06-15 336
firewalld防火墙匹配规则: 1、如果传入包的源地址与区域的某个源地址规则设置相匹配,该包通过该区域进行路由; 2、如果包的传入接口与区域的过滤器设置相匹配,则将使用该区域; 3、否则将使用默认区域。 firewalld默认区域规则: 区域名称 默认配置 trusted 允许所有所有传入流量 home 除非与传出流量相关,或与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量 internal 除非与传出
firewalld高级应用
勿念勿扰,相安静好
07-28 820
1.1:IP伪装与端口转发 1.2:firewall-cmd高级配置 1:firewalld中理解直接规则 将某个IP范围列入黑名单 [root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist   [root@localhost ~]# firewall-cmd --direc...
FIREWALLD--linux防火墙
Albert__Einstein的博客
11-14 9891
linux防火墙 防火墙的核心是数据报文过滤 工作在主机或者网络的边缘,对进出的数据报文进行检查,监控,并且能够根据事先定义的匹配条件和规则做出相应的动作的组件,机制或者系统 linux一般都是作为服务器系统来使用,对外提供一些基于网络的服务 通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能 常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议、哪些接口,是否通过数据包进行修改等 如:服务器可能受到来自某个ip攻击,这时就需要禁止所有来自ip的访问 linux内核集...
Linux运维之防火墙firewalld的管理
qq_42303254的博客
12-13 565
一、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 (1)Netfilter:数据包过滤机制 (2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalld与iptables 二、firewalld介绍 动态防火墙后台程序 firewalld 提供一个动态管理...
防火墙策略管理-firewalld
qq_41619571的博客
04-08 1111
1.拓扑图 2.firewalld服务基础 1、Linux防火墙体系 系统服务:firewalld 管理工具firewalld-cmd、firewalld-config 2、预设安全区域 ①、根据所在的网络场所区分,预设保护规则集 public:仅允许访问本机的sshd等少数几个服务 trusted:允许任何访问 block:阻塞任何来访请求 drop:丢弃任何来访的数据包 ②、配置规则的位置 ...
linux防火墙firewalld配置
最新发布
10-10
Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start firewalld 3. 设置防火墙开机启动:sudo systemctl enable firewalld 4. 检查防火墙运行状态:sudo systemctl status firewalld 5. 打开端口(例如端口80):sudo firewall-cmd --zone=public --add-port=80/tcp --permanent 6. 重新加载防火墙:sudo firewall-cmd --reload 7. 禁用防火墙:sudo systemctl stop firewalld 8. 关闭防火墙开机启动:sudo systemctl disable firewalld
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值