Linux网络—firewalld防火墙基础(实验+理论)

最新推荐文章于 2023-05-22 19:42:05 发布
最新推荐文章于 2023-05-22 19:42:05 发布
阅读量789 收藏 3
点赞数 1
分类专栏: Linux网络 文章标签: 网络 linux firewalld防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48191100/article/details/109484610
版权

目录

前言

  • Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
  • Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用

一、Firewalld,iptables概述

1.1 Firewalld 简介

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
  • 支持IPv4,IPv6防火墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式
    • 运行时配置(一般测试的时候使用)
    • 永久配置

1.2 iptables 简介

  • iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置类iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作

1.3 Firewalld和iptables的关系

1.3.1 netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

1.3.2 Firewalld、iptables

  • CentOS 7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态”

1.3.3 netfilter和Firewalld,iptables关系

  • 只有iptables才能和内核态进行交互
    关系

1.3.4 Firewalld和iptables的区别

防火墙类型Firewalldiptables
配置文件/usr/lib/firewalld,/etc/firewalld/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失链接
防火墙类型动态防火墙静态防火墙

1.3.5 CentOS 6 和CentOS 7 防火墙的区别

  • centos7有firewalld,iptables;centos6是iptables
  • 图形化管理工具 firewall-config;命令管理工具:iptables(操作复杂) firewall-cmd

二、Firewalld

2.1 Firewalld网络区域介绍

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则

  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口

  • 默认情况下,public秋雨是默认区域,包含所有接口(网卡)

  • Firewalld数据处理流程

  • 检查数据来源的源地址

    • 若源地址关联到特定的区域,则执行该区域所指定的规则
    • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
    • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

  • “区域”选项卡

    • “服务”子选项卡
    • “端口”子选项卡
    • “协议”子选项卡
    • “源端口”子选项卡
    • “伪装”子选项卡
    • “端口转发”子选项卡
    • “ICMP过滤器”子选项卡

  • “服务”选项卡

    • “模块”子选项卡
    • “目标地址”子选项卡
区域描述
drop(丢弃)任何接收的网络数据包都会被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制)任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public(公共)在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的链接
external(外部)特别是为路由器启动了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区)用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入您的内部网络,仅仅接收经过选择的连接
work(工作)用于工作区,您可以基本相信网络内的其他电脑不会危害您的电脑,仅仅接收经过选择的连接
home(家庭)用于家庭网络,您可以基本信任网络内的其他计算器不会危害您的计算机,仅仅接收经过选择的连接
internal(内部)用于内部网络,您可以基本上信任网络内的其他计算机不会威胁您的计算机,仅仅接受经过选择的连接
trusted(信任)可接收所有的网络连接

网络区域

2.2 Firewalld防火墙的配置方法

  • 运行时配置
    • 实时生效,并持续至Firewalld重新启动或重新加载配置
    • 不中断现有连接
    • 不能修改服务配置
  • 永久配置
    • 不立即生效,除非Firewalld重新启动或重新加载配置
    • 中断现有连接
    • 可以修改服务配置
  • Firewall-config图形工具
  • Firewall-cmd命令行工具
  • /etc/firewalld/中的配置文件
    • Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
    • /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
    • /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中配置

2.3 Firewalld-config图形工具

  • 运行时配置/永久配置
  • 重新加载防火墙
    • 更改永久配置并生效
  • 关联网卡到指定区域
  • 修改默认区域
  • 连接状态
    图形化工具

三、Firewalld防火墙案例

3.1实验环境

禁止主机ping服务器
只允许20.0.0.110主机访问SSH服务
允许所有主机访问Apache服务

3.2实验步骤

3.2.1 网络参数配置

[root@hostlocal ~]# yum -y install httpd
[root@hostlocal ~]# systemctl start httpd
[root@hostlocal ~]# systemctl enable httpd

3.2.2 开启防火墙

[root@hostlocal ~]# firewalld-config ##运行防火墙图形化管理工具##

3.2.3 配置work区域

配置work区域
配置work区域
配置work区域

3.2.4 配置public区域

配置public区域
配置public区域

3.2.4 验证

验证
验证
验证
光盘挂载,安装http服务,开启服务。在网页中输入服务器地址,可以登录
验证

唐门中单申请出战
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux--firewalld防火墙基础firewalld和iptables的关系,四表五链,netfilter与iptables的关系,iptables语法与参数,firewalld网络区域)
CN_TangZheng的博客
12-09 849
Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙) - Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
linux网络firewalld 防火墙
wang_dian1的博客
05-22 902
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
理论+实验 详解防火墙基础以及防火墙相关实验
Mr_ChenWJ的博客
08-04 886
目录一 Firewalld概述1.1FirewalldFirewalld和iptables的关系2.1 netfilter2.2 Firewalld/iptables2.3 Firewalld和iptables的区别三 Firewalld网络区域3.1 区域介绍3.2 Firewalld数据处理流程四 Firewalld防火墙配置方法4.1 运行时配置4.2 永久配置4.3 Firewall-config图形工具4.4 Firewall-cmd命令行工具4.5 /etc/firewalld/中的配置
firewalld防火墙(二)实验案例:ip地址伪装,端口转发
weixin_45014003的博客
05-11 715
实验要求: 全网互通 搭建网站 配置防火墙,划分区域,配置默认区域 配置ip地址伪装centos01-centos03 配置端口映射centos04-centos01 实验步骤: 一、全网互通 1、配置IP地址,默认网关 Centos01 Centos02 Centos03 Centos04 2、开启路由转发,实现全网互通 二、搭建网站 Centos01 Centso03 Centos04 ...
Centos的网络环境配置防火墙firewalld,ifconfig+route/ip手动配置网络,用iptables增加网络访问规则
qq_35854212的博客
05-31 361
一、 防火墙firewalld的操作 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中...
Linux防火墙之“四链五表”
cjzcc1996的博客
07-16 1764
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
关于ufw、firewalld及iptables之间的关系整理
RicardoOzZ的博客
11-24 1万+
看到有篇相关文章介绍如下,指出三者是在不同的linux系统版本中的防火墙,但这种说法并不完全,会让人误解为他们是互不影响的独立关系。 UFW、firewall、iptables防火墙配置 常见的linux系统防火墙有:UFW、firewall、iptables,其中,UFW是Debian系列的默认防火墙,firewall 是红帽系列7及以上的防火墙(如CentOS7.x),iptables是红帽系列6及以下(如CentOS6.x)的防火墙。 事实上,他们很可能同时安装在同一个系统上,并且相互作用影响!
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3134
目录防火墙介绍iptables和firewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
Linux配置网络和firewall防火墙(超详细介绍+实战)
默默发展,无声壮大~
05-09 6270
通常所说的网络防火墙指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或其他外部网络间互相隔离,限制网络互访,以此来保护内部网络防火墙的分类方法多种多样,一般来说大致可分为三类,分别是“包过滤”、“应用代理”、“状态检查”。无论防火墙的功能多么强大,性能多么完善,归根结底都是在这三种技术的基础之上扩展功能的。
iptables和firewalld的介绍与区别
热门推荐
Bilise的博客
04-07 1万+
一、iptables iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这...
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Linux--DNS域名解析配置详解理论+实操
qq_48191100的博客
11-03 5636
目录前言一、BIND 域名服务基础1.1 DNS 系统的作用及类型1.1.1 DNS系统的作用1.1.2 DNS 系统的类型1.2 BIND的安装文件1.3 BIND的配置文件1.3.1 named.conf主配置文件1.3.2 区域数据配置文件1.3.3 区域数据配置文件的特殊应用1.3.4 对配置文件进行语法检查二、使用BIND构建域名服务器2.1 实验环境2.2 20.0.0.11配置2.3 20.0.0.12配置2.4 20.0.0.13配置 前言 域名解析是把域名指向网站空间IP,让人们通过注册
Linux网络设置——查看及测试网络,设置网络地址参数(理论+实操)
qq_48191100的博客
11-03 3221
目录前言一、查看网络配置1.1 查看网络接口地址1.1.1 查看活动的网络接口设备1.1.2 查看指定的网络接口信息1.2 查看主机名称1.3 查看路由表条目1.4 查看网络连接情况二、测试网络连接2.1 使用ping命令测试网络连通性2.2 使用 traceroute 命令跟踪数据包2.3 实验验证2.3.1 实验拓扑图2.3.2 分配网卡2.3.3 配置R12.3.4 R2配置2.3.5 centos 7设置2.3.6 win10IP地址设置直接更改网卡地址即可2.3.7 win 10IP地址设置2.3
Linux网络—iptables防火墙原理及配置—NAT地址转换实验
qq_48191100的博客
11-04 1275
目录一、SNAT策略及应用1.1 SNAT策略概述1.2 SNAT的典型应用环境1.3 SNAT策略的工作原理1.3.1 未作SNAT转换时的情况1.3.2 进行SNAT转换后的情况(私网转公网)二、DNAT策略及应用2.1 DNAT策略概述2.2 DNAT的典型应用环境2.3 DNAT策略的工作原理2.3.1 进行DNAT转换后的情况(公网转私网)2.4 DNAT策略的应用三、规则的备份及还原3.1保存防火墙规则3.2备份防火墙规则3.3 导入(还原)规则3.4 清空所有防火墙规则3.5 设置具体的ipt
Linux网络服务—部署YUM仓库与NFS共享服务(理论+实验
qq_48191100的博客
11-04 399
目录前言一、构建远程YUM仓库1.1 YUM概述1.2 实验准备1.2.1 软件仓库的提供方式1.2.2 RPM软件包的来源1.2.3 构建CentOS7软件仓库1.2.4 在软件仓库中加入非官方RPM包组1.2.5 配置软件仓库位置(客户机端)1.3 部署YUM软件仓库1.3.1 实验环境1.3.2 实验过程1.4 yum工具概述1.5 软件包查询1.6 软件安装升级与卸载二、NFS共享存储服务2.1 网络文件系统(Network File System)2.2 使用NFS发布共享资源 前言 Yum(全
linux firewalld防火墙详解
最新发布
09-24
FirewalldLinux系统中的一种动态防火墙管理工具。它使用底层工具iptables和ip6tables来控制网络流量,并提供了更加易于使用的命令行界面和图形用户界面,方便设置和管理防火墙规则。 一些关于firewalld的基本使用方法如下: - 启动firewalld:`systemctl start firewalld` - 查看firewalld状态:`systemctl status firewalld` - 停止firewalld:`systemctl disable firewalld` - 禁用firewalld:`systemctl stop firewalld` - 重启firewalld:`systemctl restart firewalld` Firewalld允许用户定义不同的"区域"来区分不同的网络环境,并为每个区域定义相应的防火墙规则。例如,您可以将公共网络、内部网络和信任网络分别配置为不同的区域,并为每个区域设置适当的访问控制规则。 此外,Firewalld还支持服务和端口的定义和管理。您可以定义允许通过防火墙的特定服务或端口,并根据需要进行适当的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值