防火墙基础--firewalld的详细介绍与项目实操

1.firewalld 概述

1）firewalld特点

• 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具；
• 支持IPv4、IPv6 防火墙设置以及以太网桥；
• 支持服务或应用程序直接添加防火墙规则接口；
• 拥有两种配置模式runtime和permanent

2）firewalld的配置模式如下

• 运行时配置（runtime）
  指正在运行生效的状态，在runtime状态添加新的防火墙规则，这些规则会立即生效，但是重新加载防火墙配置或者再重启系统后这些规则将会失效，不能修改服务配置
• 永久配置（permanent）
  指永久生效的状态，在permanent状态添加新的防火墙规则，这些规则不会马上生效，需要重新加载防火墙配置或者重启系统后生效，可以修改服务配置

1.1 区域的概念

• 区域如同进入主机的安全门，每个区域都具有不同限制程度的规则，可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口；
• firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口条件等将流量传入相应区域，每个区域都定义了自己打开或关闭的端口和服务列表。
• firewalld默认区域为public区域。

firewalld防火墙预定义区域，如下表：

区域名称	默认配置说明
Trusted（信任）	允许所有的传入流量，可接受所有的网络连接
Home（家庭）	允许与ssh、mdns、samba-client、ipp-client或dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝
Internal（内部）	用于内部网络。默认值时与home区域相同
Work（工作）	允许与ssh、ipp-client或dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝
Public（公共）	允许与ssh或dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域
External（外部）	允许与ssh 预定义服务匹配的传入流量，其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装
Dmz（非军事区）	允许与ssh 预定义服务匹配的传入流量，其余均拒绝
Block（限制）	拒绝所有传入流量
Drop(丢弃)	丢弃所有传入流量

firewalld数据处理流程：

检查数据来源的源地址：

• 若源地址关联到特定的区域，则执行该区域所指定的规则
• 若源地址未关联到特定的区域，则使用传入网络接口的区域，并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

1.2 firewalld 和 iptales 的关系

netfilter 与 iptables 的主要区别如下：

• netfilter：位于linux内核中的包过滤功能体系；被称为linux防火墙的“内核态”

• firewalld/iptables：centos7 默认的管理防火墙规则的工具（firewalld），称为linux防火墙的“用户态”。在防火墙中，发挥作用的是netfilter（内核态），不可以直接管理，只能间接管理，使用firewalld或者iptables。

运作关系：

• 使用工具或者操作去管理进程和服务；
• 进程服务去控制封装的iptables命令，间接的去管理内核中的netfiler；
• 真正能跟netfilter交互的是iptables，firewalld去管理iptables；

1.3 firewalld 和 iptales 的区别

区别	firewalld	iptables
配置文件	/usr/lib/firewalld/ /etc/firewalld	etc/firewalld /etc/sysconfig/iptables
对规则的修改	不需要全部刷新策略，不丢失现行连接	需要全部刷新策略，丢失连接
防火墙类型	动态防火墙	静态防火墙

注意：

• CentOS 6 和CentOS 7 防火墙的区别
  centos7有firewalld，iptables；centos6是iptables

2.字符管理工具

2.1 firewall–cmd介绍

• firewall-cmd是firewalld防火墙自带的字符管理工具，可以用来设置firewalld防火墙的各种规则；
• 在使用firewall-cmd命令管理防火墙时，需要添加为永久生效的规则需在配置规则时添加–permanent选项（否则所有命令都是作用于runtime，运行时配置）；
• 如果让永久生效规则立即覆盖当前规则生效使用，还需要使用firewall-cmd --reload命令重新加载防火墙配置。

扩展：

• firewall-config 是图形化工具
• firewall-cmd 是字符命令

常用的firewall-cmd命令，如下表：

firewall–cmd命令	说明
–get-zones	查看所有区域也可以用–list-all-zones
–get-services	查看支持的所有服务名称
–get-default-zone	查看当前默认区域
–get-active-zones	列出当前正在使用的区域及其对应的网卡接口
–get-zones	列出所有可用区域
–get-zone-of-interface=ens33	查看指定网卡所处的区域
–zone=区域 --query-service=服务	查看指定区域中有没有相关的服务开放
–set-default-zone=区域	设置该区域为默认区域（注意此命令会同时修改运行时配置和永久配置）
–add-source=ip/网段 --zone=区域	将来自IP地址或网段的所有流量路由到指定区域，没有指定区域时使用默认区域
–remove-source=ip/网段 --zone=区域	从指定区域中删除来自IP地址或网段的所有路由流量规则，没有指定区域时使用默认区域
–add-interface=接口 --zone=区域	将来自该接口的所有流量都路由到指定区域，没有指定区域时使用默认区域
–change-interface=接口 --zone=区域	将接口与指定区域关联，没有指定区域时使用默认区域
–list-all [–zone=区域]	列出指定区域已配置接口、源、服务、端口信息。没有指定区域时使用默认区域
–add-service=服务 [–zone=区域]	允许到该服务的流量通过指定区域，没有指定区域时使用默认区域
–remove-service=服务 [–zone=区域]	从指定区域的允许列表中删除该服务，没有指定区域时使用默认区域
–add-port=端口 [–zone=区域]	允许到该端口的流量通过指定区域，没有指定区域时使用默认区域
–remove-port=端口 [–zone=区域]	从指定区域的允许列表中删除该端口，没有指定区域时使用默认区域
–list-services	查看当前区域允许的服务
–reload	重新加载配置文件

注意：表中“[ ]”表示可以省略，省略指定区域就表示使用默认区域。

2.2 区域管理

2.2.1 查看默认区域

[root@localhost ~]# firewall-cmd --get-default-zone
public

2.2.2 列出当前正在使用的区域及其对应的网卡接口

[root@localhost ~]# firewall-cmd --get-active-zone
public
  interfaces: ens33

[root@localhost ~]# firewall-cmd --permanent --zone=external --change-interface=ens33	//为网卡设置区域
[root@localhost ~]# firewall-cmd --reload

2.2.3 列出所有可用区域

[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

2.2.4 设置默认区域

[root@localhost ~]# firewall-cmd --set-default-zone=home
success
[root@localhost ~]# firewall-cmd --get-default-zone
home

2.3 服务管理

2.3.1 查看预定义服务

[root@localhost ~]# firewall-cmd --get-service

2.3.2 添加httpd服务到public区域

[root@localhost ~]# firewall-cmd --add-service=http --zone=public --permanent   
									  //加permanent是指永久配置，不加表示即时生效的临时配置
success
[root@localhost ~]# firewall-cmd --reload
success

2.3.3 查看public区域已设置规则

[root@localhost ~]# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

2.3.4 移除public区域的httpd服务

[root@localhost ~]# firewall-cmd --remove-service=httpd --permanent		//不指定区域表示使用默认区域
success
也可以同时添加多个服务
[root@localhost ~]# firewall-cmd --add-service=httpd --add-service=https
success

2.4 端口管理

2.4.1 允许TCP的3360端口到public区域

[root@localhost ~]# firewall-cmd --add-port=3360/tcp 
success
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http https
  ports: 3360/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

2.4.2 从public区域将TCP的3360端口移除

[root@localhost ~]# firewall-cmd --remove-port=3360/tcp
success

2.4.3 允许某一范围的端口

[root@localhost ~]# firewall-cmd --add-port=2048-2050/udp 
success
[root@localhost ~]# firewall-cmd --list-ports	//查看加入的端口操作是否成功
2048-2050/udp

2.5 项目配置实例

• 将默认区域设置为dmz，来自网络192.168.54.0/24的流量全部分配给 internal 区域，并且打开 internal 区域的80端口供用户访问

[root@localhost ~]# firewall-cmd --set-default-zone=dmz
success
[root@localhost ~]# firewall-cmd --add-source=192.168.54.0/24 --zone=internal --permanent
success
[root@localhost ~]# firewall-cmd --add-service=http --zone=internal --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

如果使用firewalld的基本语法不够用，还可以添加富规则，设置针对某个服务、主机地址、端口号等等更加详细的规则策略，在所有的策略设置中的优先级也是最高的。

富规则添加实例：

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source 
address="172.16.10.0/22" service name="ssh" reject"		//拒绝172.16.10.0/22网络用户访问ssh

3.图形管理工具

• 除了字符管理工具外，firewalld防火墙还提供了图形管理工具 firewall-config ，可用于查看和更改 firewalld 防火墙正在运行时的配置和永久配置，可以使用 firewall-config 软件包进行安装使用；
• 安装好后，使用 firewall-config 命令启动图形管理工具，启动界面如下图：

3.1 设置为临时或永久

3.2 图形界面工具中选项窗口

3.2.1 重载防火墙

• 设置新的防火墙规则，并设置为永久时，我们需要使用“firewall-cmd --reload”重载防火墙，在图形界面设置如图所示

3.2.2 关联网卡到指定区域

3.2.3 修改默认区域

3.3 区域选项卡