Firewalld防火墙
Firewalld概述
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置:临时命令在重启前有效,重启后清空
永久配置:配置命令只有在重启后才能生效 +(--permanent)
Firewalld和iptables
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”(面向硬件)
Firewalld、iptables
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”(面向用户)
Firewalld和iptables的区别
firewalld iptables
配置文件 /usr/lib/firewalld/ /etc/sysconfig/iptables
/etc/firewall/
对规则的修改 不需要全部刷新策略,不 需要全部刷新策略,丢失连接
丢失现行连接
防火墙类型 动态防火墙 静态防火墙
Firewalld数据处理流程
检查源地址
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
外部流量效果:源地址是否关联
网卡的所属区域
源地址关联(1)优先级大于网卡关联(2,3)优先级
Firewalld防火墙配置方法
运行时:
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置(临时有效,重新加载失效)
永远:
不立刻生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 (永久有效,前提是需要重新加载)
防火墙图形界面
应用解析
运行时配置/永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态
区域选项卡
“服务”子选项卡(激活的区域以粗体显示,存在网卡,地址)
“端口”子选项卡(添加的协议,端口)
“协议”子选项卡
“源端口”子选项卡(开放端口范围)
“伪装”子选项卡 (nat)
“端口转发”子选项卡
“ICMP过滤器”子选项卡
服务
“模块”子选项卡
“目标地址”子选项卡
Firewall区域分类
firewalld将网卡对应到不同的区域(zone),zone默认共有9个:
drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。
block(限制)
任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。
pubic(公共)
在公共区域内使用,不能相信网络内的其它计算机不会对您的计算机造成危害,只能接收经过选取的连接。
external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(非军事区)
用于您的非军事区的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作)
用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑,仅仅接收经过选择的连接。
home(家庭)
用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部)
用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接
trusted(信任)
可接受所有的网络连接。
/etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
cmd命令行工具
用法示例:
显示可以使用容易理解的名称表示的所有服务
[root@server1 ~]# ls /usr/lib/firewalld/services
查看支持的所有服务名称
[root@server1 ~]# firewall-cmd --get-services
查看所有区域
[root@server1 ~]# firewall-cmd --get-zones
查看当前默认区域
[root@server1 ~]# firewall-cmd --get-default-zone
查看当前指定网卡所处的区域
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens33
查看public区域中有没有ssh服务开启(yes/no)
[root@server1 ~]# firewall-cmd --zone=public --query-service=ssh
[root@server1 ~]# firewall-cmd --zone=public --query-service=ftp
[root@server1 ~]# firewall-cmd --zone=public --query-service=dns
[root@server1 ~]# firewall-cmd --zone=public --query-service=dhcp
查看当前区域开放的服务
[root@server1 ~]# firewall-cmd --list-services(不指定区域,默认与当前网卡区域一样默认区域)
查看所有区域开放的服务
[root@server1 ~]# firewall-cmd --list-all-zones
Firewalld防火墙项目
禁止主机ping服务器
只允许20.0.0.10主机访问SSH服务器
允许所有主机访问Apache服务
项目流程
1.禁止主机ping服务器
[root@server2 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
[root@server1 ~]# ping 20.0.0.11
[root@client1 ~]# ping 20.0.0.11
只允许20.0.0.10主机访问SSH服务器
设置只有区域public配置20.0.0.10/32用户,关联20.0.0.10地址可登录SSH服务
[root@server2 ~]# firewall-cmd --list-all
[root@server2 ~]# firewall-cmd --zone=public --add-source=20.0.0.10/32 --permanent
设置默认区域为home
[root@server2 ~]# firewall-cmd --set-default-zone=home
设置网卡ens33关联默认区域ens33
[root@server2 ~]# firewall-cmd --change-interface=ens33 --zone=home --permanent
[root@server2 ~]# systemctl stop NetworkManager
[root@server2 ~]# firewall-cmd --reload
查看home区域
[root@server2 ~]# firewall-cmd --list-all
删除home区域关联的SSH服务
[root@server2 ~]# firewall-cmd --zone=home --remove-service=ssh --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
[root@server2 ~]# firewall-cmd --list-all --zone=public
允许20.0.0.10用户访问SSH服务
[root@server2 ~]# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.10" service name="ssh" accept"
[root@server2 ~]# firewall-cmd --list-all --zone=public
允许访问Apache服务
[root@server2 ~]# yum -y install httpd
[root@server2 ~]# echo "good day." > /var/www/html/index.html
[root@server2 ~]# systemctl start httpd
[root@server2 ~]# firewall-cmd --zone=public --add-service=http --permanent
success
[root@server2 ~]# firewall-cmd --zone=home --add-port=80/tcp --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
[root@server2 ~]# firewall-cmd --list-all --zone=public
[root@server2 ~]# curl http://20.0.0.11