CentOS7的专属防火墙:Firewalld 之了解与使用

最新推荐文章于 2023-10-24 11:24:21 发布
最新推荐文章于 2023-10-24 11:24:21 发布
阅读量264 收藏 2
点赞数
分类专栏: 防火墙 文章标签: linux 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45773660/article/details/117289744
版权

firewalld

一、概述

firewalld 防火墙为了简化管理,将所有网络流量分为多个区域 (zone) 。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表

  • Centos7 系统默认的防火墙管理工具,取代了之前的 iptables 防火墙
  • 工作在网络层,属于包过滤防火墙

1.1 特点

  • firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向 netfilter 网络过滤子系统(属于内核态)来实现包过滤防火墙功能
  • 支持IPv4、IPv6防火墙设置以及以太网桥并且拥有两种配置模式:运行时配置与永久配置

二、对比

firewalld 与 iptables 做对比

firewalld

  • 基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全
    • 与硬件防火墙的设置相类似
  • 配置储存在 /etc/firewalld/ ( 优先加载) 和 /usr/lib/firewalld/ (默认的配置文件)中的各种XML文件里
  • 使用firewalld不会再创建任何新的规则,仅运行规则中的不同之处。因此firewalld可以在运行时间内改变设置而不丢失现行连接
  • 防火墙类型为动态防火墙

iptables

  • 基于接口来设置规则,从而判断网络的安全性
  • 配置储存在/etc/sysconfig/iptables
  • 使用iptables 每一个单独更改意味着清除所有旧有的规则和从 /etc/sysconfig/iptables 里读取所有新的规则
  • 防火墙类型为静态防火墙

三、Firewalld 网络区域

3.1 共预定义了9个区域

区域名作用
trusted (信任区域)允许所有的传入流量
public (公共区域):允许与 ssh 或 dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝,默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
home (家庭区域)允许与 ssh、 ipp-client、 mdns、 samba-client 或 dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
internal (内部区域)默认值时与home区域相同
work (工作区域)允许与 ssh、ipp-client、 dhcpv6- client 预定义服务匹配的传入流量,其余均拒绝
dmz (隔离区域也称为非军事区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝
block (限制区域)拒绝所有传入流量
drop (丢弃区域)丢弃所有传入流量,并且不产生包含 ICMP 的错误响应

最终一个区域的安全程度是取决于管理员在此区域中设置的规则

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入
  • 可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
  • 默认情况下,public区 域是默认区域,包含所有接口(网卡)

3.2 数据处理流程

  • 对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则
  • 对于进入系统的数据包,首先检查的就是其源地址
    • 若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域制定的规则
    • 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则传入网络接口的区域并执行该区域所制定的规则
    • 若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行区域所制定的规则

简单总结就是:绑定源地址的区域规则 > 网卡接口绑定的区域规则 > 默认区域的规则

四、配置 Firewalld

4.1 配置方法

  1. 使用 firewall-cmd 命令行工具
  2. 使用 firewall-config 图形工具
  3. 编写 /etc/firewalld/ 中的配置文件

我们采用第一种命令模式

4.2 常用的选项

--get-default-zone										# 显示当前默认区域
--set-default-zone=<zone>								# 设置默认区域

--get-active-zones										# 显示当前正在使用的区域及其对应的网卡接口
--get-zones												# 显示所有可用的区域

--get-zone-of-interface=<interface>						# 显示指定接口绑定的区域
--zone=<zone>--add-interface=<interface>				# 为指定接[ ]绑定区域
--zone=<zone>--change-interface=<interface> 			# 为指定的区域更改绑定的网络接口
--zone=<zone>--remove-interface=<interface> 			# 为指定的区域删除绑定的网络接口

--zone=<zone>--add-source=<source>[/<mask> ]			# 为指定源地址绑定区域
--zone=<zone>--change-source=<source>[/<mask>]			# 为指定的区域更改绑定的源地址
--zone=<zone>--remove-source=<source>[/<mask>]			# 为指定的区域删除绑定的源地址

4.3 区域及规则

--list-all-zones								# 显示所有区域及其规则
[--zone=<zone>] --list-all						# 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services					# 显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service>			# 为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service>		# 删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports					# 显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>					# 为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>删除				# 指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks						# 显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype>				# 为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] -- remove- icmp-block=<icmptype> 		# 删除指定区域已设置的拒绝访问的某项ICMP类 型
firewall-cmd --get-icmptypes							# 显示所有ICMP 类型

4.4 区域管理

firewall-cmd --get-default-zone				# 显示当前系统中的默认区域

firewall-cmd --list-all						# 显示默认区域的所有规则

firewall-cmd --get-active-zones				# 显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --set-default-zone=home		# 设置默认区域
firewall-cmd --get-default-zone

4.5 服务管理

firewall-cmd --list-service								# 查看默认区域内允许访问的所有服务

firewall-cmd --add-service=http --zone=public			# 添加httpd服务到public区域

firewall-cmd --list-all --zone=public					# 查看public区域已配置规则

firewall-cmd --remove-service=http --zone=public		# 删除public区域的httpd服务

firewall-cmd --add-service=http --add-service=https --permanent			# 同时添加httpd、https服务到默认区域,设置成永久生效
firewall-cmd --add-service={http, https, ftp} --zone=internal
firewall-cmd --reload
firewall-cmd --list-all
#添加使用--permanent选项表示设置成永久生效,此时需要重新启动firewalld服务或执行firewall-cmd --reload重新加载服务命令才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效

firewall-cmd --runtime-to-permanent			# 将当前的运行时配置写入规则配置文件中,使之成为永久性配置。

4.6 端口管理

# 允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp				
firewall-cmd --list-all --zone=internal

# 从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp

# 允许UDP的2048~2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all
丁CCCCC
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux Centos7防火墙详解
鹅不糊涂的博客
05-17 1万+
CentOS7中,系统预装了一种名为firewalld防火墙软件。与之前的iptables防火墙相比,firewalld具有更为灵活和精细的策略配置方式以及更易于管理和维护的特点。firewalld可以根据网络连接的变化自动调整防火墙策略,保障系统和用户的安全。
CentOS 防火墙简介(firewalld
shang_meng_的博客
02-14 172
firewalld基本使用 == firewalld防火墙是一款典型的包过滤防火墙,也就是网络层防火墙,同时支持ipv6与ipv4地址,通过命令字符firewall-cmd来管理,firewalld默认存在多个区域,帮助我们管理我们的数据流量。== 区域 默认配置说明 trusted 允许所有流量的传入 home 允许与某些预定义服务相关的服务传入,其余拒绝 intern...
Centos防火墙使用
u011973222的博客
03-09 193
最近往公司云端上传数据时一直失败,后来发现是所使用的端口没有开放,开放了所需要的端口之后一切就恢复正常了。 首先,贴出来防火墙的基本操作命令: 查询防火墙状态:service iptables status 启动防火墙:service iptables start 停止防火墙:service iptables stop 重启防火墙:service iptables restart 永久
linux防火墙基础知识,linuxcentos7防火墙基本使用详解
weixin_29866423的博客
05-14 156
Centos 7防火墙是一个非常的强大的功能,下面我们一起来详细的看看关于centos 7中防火墙使用方法。1、firewalld的基本使用启动:systemctl start firewalld查看状态:systemctl status firewalld停止:systemctl disable firewalld禁用:systemctl stop firewalld2.systemctl是Ce...
centos7 防火墙使用详解
bee-factory
08-17 472
centos7之前使用时iptables 到了centos7使用的是firewall,按照此防火墙命令 yum install firewalld firewalld-config 启动firewall防火墙服务 systemctl start firewalld  重启防火墙 firewall-cmd --reload 查看firewall当前状态 syst
Centos7防火墙常用基本命名
weixin_40584261的博客
06-18 1657
1、添加端口 firewall-cmd --add-port=8080/tcp --permanent firewall-cmd --add-port=8888/tcp --permanent 注意:添加后需要重新启动防火墙才能生效。 2、重新加载配置 firewall-cmd --reload 3、防火墙启动关闭 systemctl start firewalld.service systemctl stop firewalld.service systemctl enable firewalld.ser
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalldcentos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
详解CentOS7使用firewalld打开关闭防火墙与端口
01-10
 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动一个服务: systemctl start firewalld.service 关闭一个服务: systemctl stop firewalld.service 重启
Centos7防火墙firewalld探究与使用.pdf
03-27
Centos7防火墙firewalld探究与使用.pdf 更多资源请点击:https://blog.csdn.net/weixin_44155966
Centos7.0.x防火墙基础
Gary1_Liu的博客
07-27 584
Centos7.0.x他的防火墙默认使用firewall 关于防火墙的简单使用 1、直接使用自带防火墙firewall 1)启动防火墙: 2)关闭防火墙: 3)开启端口: 其中参数含义: –zone:作用域 –add-port=80/tcp:添加端口号,格式为:端口号/通讯协议 –permanent:永久生效,没有此参数重启失效 4)重启防火墙: 5)常用命令...
一文带你体验CentOS7防火墙firewall
互联网老辛
05-30 2914
文章目录防火墙分类:防火墙的作用firewalld 实战firewalld 介绍firewalld 四个常用区域防火墙的匹配原则:案例一: 查看默认zone常用命令参数案例二: 修改默认zone案例三: 在public区域添加协议案例四: 把http协议永久加入到public 区域案例五: 拒绝某一个IP 访问总结 防火墙分类: 硬件防火墙 软件防火墙 比如360,金山毒霸,这些就是一种软件防火墙 防火墙的作用 防火墙主要是做隔离,严格过滤入站,允许出站 软件防火墙:做本机的防护 firewalld 实战
CentOS7、REHL7的firewalld防火墙使用简单说明
小六的昵称已被使用
02-25 565
title: CentOS7、REHL7的firewalld防火墙使用简单说明 categories: Linux tags: - Linux timezone: Asia/Shanghai date: 2019-02-25 环境 [root@centos181001 zones]# cat /etc/centos-release CentOS Linux release 7.6.1810 (C...
2021-10-29CentOS7防火墙学习
学习,再学习
10-30 116
CentOS7防火墙学习查看防火墙状态查看firewalld的软件是否安装获取防火墙状态在不改变状态的条件下重新加载防火墙获取支持的区域列表获取支持的区域服务列表开启一个自定义支持的服务 查看防火墙状态 RHEL7中有几种防火墙共存:firewalld、iptables、ebtables等,默认使用firewalld作为防火墙,管理工具是firewall-cmd。 systemctl status {firewalld,iptables,ip6tables,ebtables} 或 systemctl i
Centos7firewalld防火墙的设置
Matheus的博客
07-01 1242
systemctl status firewalld:查看防火墙状态 防火墙区域: firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。用户可以根据具体环境选择使用区域。管理员也可以对这些区域进行自定义,使其具有不同的设置规则。 查看默认使用的区域:firewall-cmd --g
Centos7.x下Firewalld的部分使用说明
weixin_41762839的博客
04-14 94
Firewalld 使用说明 打开 firewalld $ systemctl start firewalld 端口允许被某固定 IP 访问 $ firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="允许访问的IP" port protocol="tcp" port="端口" ...
centos7firewalld对docker的影响
热门推荐
liukuan73的专栏
10-09 1万+
http://www.widuu.com/docker/installation/centos.html#installing-docker-centos-7 CentOS-7 中介绍了 firewalldfirewall的底层是使用iptables进行数据过滤,建立在iptables之上,这可能会与 Docker 产生冲突。 当 firewalld 启动或者重启的时候,将会从 ipta
Linux CentOS 8(firewalld的配置与管理)
最新发布
正月十六工作室
10-24 3727
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2335
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux防火墙的作用
dxyzhbb的博客
06-02 4408
电脑上防火墙是用来干什么的? 1、所谓“防火墙”,是指一种将内部网和公众访问网bai(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一du种访问控制尺度,它能允许zhi你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度dao地阻止网络中的黑客来访问你的网络。 2、电脑防火墙回分为安全软件的防火墙和系统自带的防火墙,用户在某些情况下希望关答闭防火墙的功能,比如说有些特定软件的运行,玩游戏的时候等等 linux系统关闭防火墙后是不是就意味
Centos7防火墙与网络区域详解:firewalld与zone深度解析
这篇文章详细阐述了CentOS 7中firewalld防火墙的配置方法,强调了其动态性和zone管理的重要性,这对于理解和管理Linux系统的网络安全至关重要。如果你正在寻求理解和优化CentOS 7防火墙设置,这篇文章将为你提供深入...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值