防火墙相关
firewalld
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式:
1.运行时配置:临时命令在重启前有效,重启后清空
2.永久配置:配置命令只有在重启后才能生效
firewalld与iptables
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”(面向硬件)
Firewalld和iptables
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”(面向用户)
firewalld和iptables的区别
firewalld相关
firewalld网络区域
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口(网络接口—网卡)
默认情况下,public区域是默认区域,包含所有接口(网卡)
firewalld数据处理流程
检查数据来源的源地址
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
外部流量效果:源地址是否关联
网卡的所属区域
源地址关联(1)优先级大于网卡关联(2,3)优先级
firewalld防火墙配置方法
运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置(临时有效,重新加载失效)
永久配置
不立刻生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 (永久有效,前提是需要重新加载)
firewall-config图形工具
systemctl start firewalld #开启防火墙
应用解析
配置:运行时配置和永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态
区域下选项卡
服务:子选项卡(激活的区域以粗体显示,存在网卡,地址)
端口:子选项卡(添加的协议,端口)
协议:子选项卡
源端口:子选项卡(开放端口范围)
伪装:子选项卡 (nat)
端口转发:子选项卡
ICMP过滤器:子选项卡
服务下选项卡
模块:子选项卡
目标地址:子选项卡
firewalld区域分类
firewalld将网卡对应到不同的区域