Firewalld 防火墙

最新推荐文章于 2024-11-02 15:22:06 发布
最新推荐文章于 2024-11-02 15:22:06 发布
阅读量652 收藏 9
点赞数 15
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51678989/article/details/140157204
版权

1. 概述

在 RHEL7 系统中,firewalld 防火墙取代了传统的 iptables 防火墙。iptables 的防火墙策略是通过内核层面的 netfilter 网络过滤器来处理的,而 firewalld 则是通过内核层面的 nftables 包过滤框架来处理。firewalld 提供了更为丰富的功能和动态更新技术,并引入了区域(zone)的概念,使得防火墙策略的管理更加灵活和高效。

2. 区域(Zone)概念

firewalld 引入了区域的概念,即预先准备了几套防火墙策略集合(策略模板)。用户可以根据生产场景的不同,选择合适的策略集合,从而实现防火墙策略之间的快速切换。

常用的区域名称及策略规则

区域名称默认策略规则
trusted允许所有的数据包进出
home拒绝进入的流量,除非与出去的流量相关;允许 ssh、mdns、ipp-client、amba-client 与 dhcpv6-client 服务的进入流量
Internal等同于 home 区域
work拒绝进入的流量,除非与出去的流量相关;允许 ssh、ipp-client 与 dhcpv6-client 服务的进入流量
public拒绝进入的流量,除非与出去的流量相关;允许 ssh、dhcpv6-client 服务的进入流量
external拒绝进入的流量,除非与出去的流量相关;允许 ssh 服务的进入流量
dmz拒绝进入的流量,除非与出去的流量相关;允许 ssh 服务的进入流量
block拒绝进入的流量,除非与出去的流量相关
drop拒绝进入的流量,除非与出去的流量相关

注意:firewalld 默认出口是全放开的。

3. 动静态更新技术

iptables 的每一个更改都需要先清除所有旧有的规则,然后重新加载所有的规则(包括新的和修改后的规则)。而 firewalld 的任何规则变更都不需要对整个防火墙规则重新加载,支持动态更新技术,大大提高了管理效率。

4. 配置文件

firewalld 的主配置文件是 firewalld.conf。防火墙策略的配置文件以 xml 格式为主,存放在以下两个目录里:

  • /etc/firewalld:用户配置文件
  • /usr/lib/firewalld:系统配置文件,包含预定义配置文件

5. 管理方式

firewalld 提供了基于 CLI(命令行界面)和基于 GUI(图形用户界面)两种管理方式:

  • CLI 工具firewall-cmd(终端管理工具)
  • GUI 工具firewall-config(图形管理工具)

firewall-cmd 命令参数

参数作用
--get-default-zone查询默认的区域名称
--set-default-zone=<区域名称>设置默认的区域,使其永久生效
--get-zones显示可用的区域
--get-services显示预定义的服务
--get-active-zones显示当前正在使用的区域、来源地址和网卡名称
--add-source=将源自此 IP 或子网的流量导向指定的区域
--remove-source=不再将源自此 IP 或子网的流量导向这个区域
--add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>将某个网卡与区域进行关联
--list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>向指定区域添加服务

(注意:--add-service=<服务名> 参数的作用在表格中被截断,应理解为向指定区域添加预定义的服务)

6. 总结

firewalld 防火墙以其丰富的功能、动态更新技术和区域管理概念,在 RHEL7 系统中成为了 iptables 的有力替代者。通过灵活的区域设置和高效的配置管理,firewalld 使得防火墙策略的管理变得更加简单和高效。无论是通过 CLI 还是 GUI 方式,用户都能轻松地进行防火墙策略的配置和管理。

子非鱼   
关注
firewalld防火墙
gcc001224的博客
05-13 9532
文章目录 Firewalld
firewalld 防火墙
xw19979790869的博客
01-09 996
firewall-config图形化配置工具支持防火墙所有的特性.系统管理员可以通过它来改变系统或用户策略.通过firewall-config 图形化配置工具,可以实现配置防火墙允许通过的服务、端口、伪装.端口转发、ICMP过滤器等功能。firewalld将所有的网络数据流量划分为多个区域,从而简化防护墙管理.根据数据包的源Р地址或传入网络接口等条件.将数据流量转入相应区域的防火墙规则.对于进入系统的数据包.首先检查的就是其源地址。默认区域不是单独的区域,而是指向系统上定义的某个其他区域。
Firewalld防火墙
weixin_60917414的博客
05-23 2885
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙firewalld与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能firewalld防火墙最大的优点在于支持动态更新以及加入了防火墙的‘zone’概念。
Firewalld 防火墙基础
m0_71548847的博客
07-03 2449
firewalld 简介frewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。firewalld和iptables 的关系。
【Linux安全】Firewalld防火墙
F12138X的博客
05-23 1533
欲穷千里目,更上一层楼
linux防火墙篇--Firewalld防火墙基础
aran2002的博客
05-23 4029
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
Firewalld 防火墙配置
来日可期的博客
12-12 1757
firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。
firewalld防火墙基础
weixin_59629968的博客
09-18 1740
firewalld防火墙区域配置实现对区域流量的规则放通,丢弃,禁止
firewalld防火墙端口开放
ling_zhi_xin的博客
08-26 456
它是Red Hat公司推出的一款用于替代iptables的新型防火墙软件,是CentOS 7和Fedora 18及以上版本的默认防火墙。使用firewalld可以轻松地管理网络通信的安全性,包括端口的开放和关闭。–zone=public指定了这个规则所适用的区域(区域也可以被指定为其他的区域,例如"work","home"等),–add-port=8080/tcp指定了要开放的端口和协议,–permanent则是将这个规则添加到永久存储中,以便于开机后恢复。
Firewalld 防火墙详解
热门推荐
shenyuanhaojie的博客
09-19 4万+
文章目录1. firewalld 防火墙简介1.1 firewalld 是什么1.2 什么是动态防火墙1.3 firewalld 和 iptables 之间的关系 1. firewalld 防火墙简介 1.1 firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 1.2 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下 iptables service 管
Firewalld防火墙基础
rqaz123的博客
05-23 312
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
嵌入式通信协议:UART简明学习笔记
weixin_73867577的博客
10-31 755
学习UART串口的简明学习笔记
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 817
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
嵌入式通信协议:MODBUS简明学习笔记
最新发布
weixin_73867577的博客
11-02 218
学习Modbus的简明学习笔记
【Kotlin】 基础语法笔记
xuanyulevel6的博客
10-31 833
kotlin基础语法学习笔记
spring6 笔记(3 万字详解)
2301_79083000的博客
10-29 1276
尚硅谷spring笔记带你一套掌握spring
网络编程笔记----OSI七层模型及其作用
m0_63903713的博客
11-02 119
OSI七层模型是计算机网络领域的一个标准模型,用于理解网络通信的过程。它将网络功能分为七个不同的层次,每一层都有其特定的功能和作用。每一层都依赖于其下层,同时为其上层提供服务,形成一个相互独立又紧密联系的网络通信体系。这个模型帮助我们理解和设计复杂的网络架构。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值