今天继续给大家介绍Linux基础知识,本文主要内容是Linux firewall防火墙基础知识介绍。
一、firewall基础知识
firewall是CentOS 7版本后的自带防火墙管理工具,与iptables不同,firewall是一款动态防火墙管理工具。所谓动态防火墙,是指firewall在运行时,任何规则的变更都不需要对防火墙规则列表进行重新加载,只需要将变更部分保存并更新运行即可。相对应的,当用户使用iptables添加规则时,如果想要让规则永久保存,需要执行命令serivce iptables save(注:该命令的执行需要安装iptables.serivces),才可以永久保存置配置文件中,并且在重启后,配置依旧存在。在整个过程中,iptables会对防火墙的规则列表重读一遍,加载到内核。
二、firewall区域介绍
在firewall防火墙中,引入了区域的概念,所谓区域,就类似于windows在选择网络时可以设置家用网络、公用网络等等,本质上是一系列数据包过滤的规则,firewall可以将网卡设置为一个指定的区域。在firewall中,一共有9种区域,分别如下:
1、drop
drop区域即“丢弃”,任何接受到的数据包都会被丢弃,没有任何回复。
2、block
block区域即“限制”,任何接受到的数据包会被拒绝,并且给予回复。
3、public
在公共区域使用,认为网络中可能存在其他的计算机对系统造成危害,因此只接受经过选取的链接。public区域是网卡所处的默认区域。
4、external
external区域即“外部”,相比于public,external对网络的限制更为严格,设置为external的区域,会进行类似DNAT的伪装,并且只允许SSH链接通过。
5、dmz
dmz区域即“非军事化区”,一般用于DMZ区域的主机,此区域可以公开访问,可以有限的进入内部链接,仅仅接收经过选择的链接。
6、work
用于工作区,对区域认为是基本安全的网络,但是也仅仅接收有选择的连接。
7、home
home区域即“家庭”,相比于work,对该网络更加信任,但是也仅仅接收有选择的连接。
8、internal
internal区域即“内部”,相比于home,对该网络更加信任,可以接受更多的网络连接。
9、trusted
trusted区域即“信任”,被认为可以完全信任该区域的计算机,可以接受任何网络连接。
fireall防火墙在引入了区域的配置后,我们就可以把一个网卡设置为某一区域,那么这个网卡就自动接受了该区域的规则了。
三、firewall服务简介
在/usr/lib/firewalld/serivces/目录中,还存在了firewall的服务配置文件,每个文件是以xml格式的,对应一项具体的服务,根据文件名称我们可以大致看出其所对应的服务。该目录下一共含有100多项默认服务,如下所示:
执行命令:
firewall-cmd --get-serivces
也可以列举出firewall防火墙所支持的服务,如下所示:
如果我们想自定义服务,或者是想修改上述服务的内容(事实上,对服务的修改是很常见的,比如如果我们的web服务器开放的端口进行改变,就需要修改相应的服务),我们需要将新的自定义的服务或者是修改后的服务放在/etc/firewalld/目录下,而不是直接在/usr/lib/firewalld/serivces/目录下进行修改。事实上,firewall防火墙在读取服务时,也会优先查找/etc/firewalld/目录下的服务。
firewall通过服务来进行配置的好处主要有以下两点:
1、通过服务配置,可以直观的将服务名称命名为服务相关的内容。
2、一个服务文件可以直接配置多个端口,这样相当对与端口管理的批量操作。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
