Firewalld：管理 Linux 防火墙的更简单方法

最新推荐文章于 2024-05-31 12:55:01 发布

汤姆表示很疑惑

最新推荐文章于 2024-05-31 12:55:01 发布

阅读量767

点赞数 29

分类专栏： web安全网络安全学习路线文章标签： linux 网络服务器 web安全网络安全

本文链接：https://blog.csdn.net/shandongjiushen/article/details/139012509

版权

网络安全同时被 3 个专栏收录

59 篇文章 3 订阅

订阅专栏

web安全

57 篇文章 0 订阅

订阅专栏

学习路线

47 篇文章 2 订阅

订阅专栏

Firewalld是一种动态的、用户友好的Linux防火墙管理工具。相较于传统的iptables，Firewalld提供了更灵活、更方便的防火墙配置方式，使得管理员能够更容易地管理网络安全策略。

Firewalld基于D-Bus系统，支持IPv4和IPv6，并且具有动态更新规则的特性，可以在运行时对防火墙规则进行修改而无需重新加载。这使得它成为在运行中维护安全性的理想选择。

Firewalld允许在不中断网络连接的情况下动态更新防火墙规则。这意味着你可以在系统运行时进行更改，而不必担心服务中断。这为系统管理员提供了更大的灵活性，使其能够及时应对网络安全威胁。

传统的iptables配置可能比较复杂，尤其是对于新手来说。Firewalld通过引入概念化的"区域"、"服务"和"端口"等概念，简化了防火墙的配置。管理员无需深入了解iptables的规则语法，只需使用简单的命令和配置文件就能轻松管理防火墙。

Firewalld引入了"区域"的概念，允许根据网络环境将不同的防火墙规则应用于不同的区域。例如，你可以将不同的网络接口分配给内部网络和外部网络，然后为每个区域配置适当的防火墙规则。这种灵活性使得Firewalld在复杂网络环境中表现出色。

防火墙基本原理

防火墙是一种网络安全设备，用于监控、过滤和控制网络流量。其目标是防止未经授权的访问，并确保合法数据的安全传输。防火墙通过检查数据包的来源、目标地址、端口号等信息来决定是否允许或拒绝通过。

防火墙根据预定义的规则集来过滤网络流量。这些规则指定了允许或拒绝特定类型的流量。数据包进入防火墙时，会被比对规则集，如果符合规则，就会被允许通过，否则会被阻止。

Firewalld核心概念

区域（Zones）

Firewalld引入了"区域"的概念，用于定义不同的网络区域，每个区域可以有不同的防火墙规则。常见的区域包括public、private、work、home等。默认情况下，网络接口会被分配到public区域。

服务（Services）

服务是一组预定义的规则，用于定义允许通过防火墙的特定网络服务。例如，HTTP、SSH等服务都可以被定义为服务，从而简化防火墙规则的配置。

端口（Ports）

端口用于标识网络通信中的特定应用程序。Firewalld允许你通过端口来控制流入或流出的数据包。可以打开或关闭特定端口，也可以定义自定义端口。

源和目标

Firewalld允许你根据数据包的来源和目标来定义规则。这使得你可以限制特定IP地址或地址范围的访问，增强了网络安全性。

Firewalld配置文件结构

Firewalld的配置文件分为主配置文件和区域/服务/端口配置文件。

主配置文件位于/etc/firewalld/firewalld.conf，包含一般的Firewalld设置，如默认区域等。

每个区域都有一个对应的配置文件，位于/etc/firewalld/zones/目录下。这些文件包含特定区域的防火墙规则。

服务配置文件位于/etc/firewalld/services/目录下，定义了预定义服务的防火墙规则。

你可以使用任何文本编辑器，如vi或nano，来修改Firewalld的配置文件。例如，打开主配置文件：

sudo vi /etc/firewalld/firewalld.conf

然后，你可以修改默认的区域、日志设置等。

Firewall-cmd是Firewalld的命令行工具，可以通过它在运行时修改防火墙规则。例如，要查看当前配置：

sudo firewall-cmd --list-all

要切换默认区域：

sudo firewall-cmd --set-default-zone=public

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

使用Firewalld进行防火墙管理

启用/禁用Firewalld

要启用Firewalld服务，可以使用以下命令：

sudo systemctl start firewalld

要禁用Firewalld服务，可以使用以下命令：

sudo systemctl stop firewalld

查看当前防火墙状态

使用以下命令查看当前Firewalld的状态：

sudo firewall-cmd --state

这将显示防火墙服务的当前状态，例如running表示服务正在运行。

默认区域

要查看和设置默认区域，可以使用以下命令：

sudo firewall-cmd --get-default-zone

sudo firewall-cmd --set-default-zone=public

切换区域

要为特定接口设置区域，可以使用以下命令：

sudo firewall-cmd --zone=public --change-interface=eth0

创建自定义区域

你还可以创建自定义区域，例如，创建一个名为custom的区域：

sudo firewall-cmd --permanent --new-zone=custom   sudo firewall-cmd --permanent --zone=custom --add-service=http   sudo firewall-cmd --permanent --zone=custom --add-source=192.168.1.0/24   sudo firewall-cmd --reload

启用/禁用服务

要启用或禁用特定服务，可以使用以下命令：

sudo firewall-cmd --permanent --add-service=http   sudo firewall-cmd --permanent --remove-service=http   sudo firewall-cmd --reload

添加自定义服务

如果需要使用未在预定义服务中列出的服务，你可以创建自定义服务。首先，在/etc/firewalld/services/目录下创建一个新的服务文件，例如custom-service.xml，然后使用以下命令：

sudo firewall-cmd --permanent --add-service=custom-service   sudo firewall-cmd --reload

打开/关闭端口

要打开或关闭特定端口，可以使用以下命令：

sudo firewall-cmd --permanent --add-port=80/tcp   sudo firewall-cmd --permanent --remove-port=80/tcp   sudo firewall-cmd --reload

添加自定义端口

如果需要使用未在预定义端口中列出的端口，可以使用以下命令：

sudo firewall-cmd --permanent --add-port=8080/tcp   sudo firewall-cmd --reload

允许特定IP访问

sudo firewall-cmd --permanent --add-source=192.168.1.2   sudo firewall-cmd --reload

阻止特定IP访问

sudo firewall-cmd --permanent --add-rich-rule='rule source address="192.168.1.2" drop'   sudo firewall-cmd --reload

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

Firewalld与NAT

要在Firewalld中配置端口转发，可以使用以下命令：

sudo firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080   sudo firewall-cmd --reload

这将把所有流入端口80的TCP流量转发到本机的8080端口。

要配置网络地址转换（NAT），可以使用以下命令：

sudo firewall-cmd --permanent --add-masquerade   sudo firewall-cmd --reload

这将启用MASQUERADE规则，允许内部网络访问外部网络。

启用Firewalld日志

要启用Firewalld的日志记录，可以使用以下命令：

sudo firewall-cmd --set-log-denied=all   sudo firewall-cmd --reload

这将记录所有被阻止的流量，便于审查和分析。

Firewalld还支持审计功能，可以使用以下命令启用：

sudo firewall-cmd --set-logging-accept   sudo firewall-cmd --set-logging-all   sudo firewall-cmd --reload

这将记录所有通过和阻止的流量，提供更详细的审计信息。

结论

通过本文的介绍，我们深入了解了Firewalld这一强大的Linux防火墙管理工具。从基本概念、配置文件结构到实际的防火墙管理操作，以及高级特性的应用，你现在应该具备使用Firewalld管理防火墙的基本知识。

Firewalld的灵活性和简便性使其成为Linux系统中管理网络安全的理想选择。鼓励读者进一步探索Firewalld的其他功能和选项，以更好地适应不同的网络环境和安全需求。阅读Firewalld的官方文档也是深入了解该工具的好途径。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。