一、firewalld概述
- 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙工具
- 支持IPv4,IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式:
运行时配置
永久配置
二、firewalld和iptables的关系
- netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
- firewalld/iptables
CentOS7默认的管理防火墙规则的工具
称为Linux防火墙的“用户态”
1、firewalld和iptables的区别
|
firewalld |
iptables |
配置文件 |
/usr/lib/friwalld /etc/firewalld |
/etc/sysconfig/iptables |
对规则的修改 |
不需要全部刷新策略,不丢失现行连接 |
刷新现有的策略,丢失连接 |
防火墙类型 |
动态防火墙 |
静态防火墙 |
三、firewalld网络区域
1、区域介绍:
- 区域是进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联原地址或接口
- 默认情况下,public区域是默认区域,包含所有接口网卡
2、firewalld数据处理流程
- 检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
四、防火墙配置方法
- 运行时配置:
实时生效,并持续至firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
- 永久配置
不立即生效,除非firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置
1、firewall-config图形工具
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/132302e794c196f95a5346552e1a603f.png)
firewall-config 图形化界面
block 阻塞区域
dmz 非军事化区域
drop 丢失区域
external 外部区域
home 家
internal 内部区域
public 公共区域
trusted 信任区域
work 工作区域
2、firewall-cmd命令行工具
1)启动、停止、查看 firewalld 服务
systemctl start firewalld //启动 firewalld
systemctl enable firewalld //设置 firewalld 为开机自启动
systemctl status firewalld 或 firewall-cmd --state //可以查看其运行状态。
systemctl stop firewalld //停止 firewalld
systemctl disable firewalld //设置 firewalld 开机不自启动
2)获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻
塞类型
firewall-cmd --get-zones //显示预定义的区域
firewall-cmd --get-service //