firewalld防火墙

简介：在Internet中，企业通过架设各种应用系统来为用户提供各种网络服务，如Web网站，电子邮件系统、FTP服务器、数据库系统等。那么，如何来保护这些服务器，过滤企业非授权的访问，甚至是恶意入侵呢？本章将开始学习Linux系统中的防火墙——netfilter和firewalld，包括防火墙的结构和匹配流程，以及如何编写防火墙规则。

一、firewalld防火墙
1、防火墙的作用和特点
1）防火墙的作用
增强安全性
对传输的数据包进行检查
2）防火墙的特点
工作在网络层数据包进行过滤
防火墙内访问外策略宽松
防火墙外访问内策略严格
2、防火墙的类型
1）硬件防火墙
稳定性强
可靠性强
处理数据速度快
ASA ，华为防火墙，深信服防火墙
2）软件防火墙
稳定性差
处理数据速度慢
firewalld，iptables，TMG，ISA
3、防火墙功能分类
1）应用代理防火墙
对应用层程序进行监控
限制应用程序访问数据或者网络
2）网络防火墙
对传输的数据包进行过滤
iptables，firewalld都属于网络防火墙
3）状态化防火墙
硬件防护墙都属于状态化防火墙
根据conn表转发数据
4、防火墙内核和防火墙管理工具
1）防火墙内核
netfilter数据linux的防火墙内核
决定系统是否支持防火墙功能
2）firewalld
提供的是管理防火墙的内核程序
5、firewalld数据流程和常见区域
1）firewalld处理流程
源地址所在接口区域配置防火墙规则，执行接口所在
源地址所在接口没有关联到区域中，执行进入防火墙接口区域所在的规则
接口没有关联到区域中，执行默认区域中的规则，firewalld默认区域是puilic区域
2）firewalld常见的区域
trusted：允许所有数据进出，一般内部网络使用
home：拒绝流量进入，允许流量出，允许ssh，ipp-client，smba-client，dhcp服务进入
internel：功能和home一样
work：拒绝流量进入，允许流量出
public：拒绝流量进入，允许流量出，ssh，dhcp流量进入
external：拒绝流量进入，允许出和允许ssh服务，一般企业外网使用
dmz：非军事化区域，拒绝流量进入，允许ssh服务进入
bolck：拒绝流量进入，允许流量出
drop：拒绝任何流量
6、firewalld工具类型
1）firewalld-cmd
命令行工具
配置简单灵活
2）firewalld-config
图形化配置防火墙使用
配置简单
7、防火墙的网络类型
1）双向外围网络
防火墙只有两个工具
一盒内网一盒外网
2）三向外围网络
一个内网
一个外网
一个DMZ
3）背靠背网络
两台防火墙中间是服务
二、配置firewalld防火墙的基本应用
1、防火墙基础操作
1）启动防火墙服务

2）设置开机自动启动

3）查看防火墙服务运行状态

4）查看防火墙的区域类型

5)查看防火墙的默认区域

6）查看ICMP协议帮助

2、防火墙区域的基本管理
1）接口加入到区域

2）修改trusted为默认区域

3）查看ens32网卡所在的区域

4）修改ens32网卡区域到dmz中

5）ens32网卡从DMZ区域删除

6）查看所有区域中的规则

7）查看指定区域中的规则

3、配置防火墙规则
1） 允许客户端访问DMZ服务器的apache服务

2）允许客户端访问DMZ服务器的80端口

3）删除80端口访问规则

4）查看允许访问的协议和端口号

5）禁止发送icmp协议请求


6）查看拒绝的icmp协议类型