Firewalld防火墙基础

已于 2022-06-06 10:18:36 修改
阅读量123 收藏 2
点赞数
分类专栏: 防火墙 文章标签: 运维
于 2022-06-06 00:35:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67479400/article/details/125138937
版权

目录

一. Firewalld防火墙基础

1. Firewalld概述

2. Firewalld和iptables的区别

二. Firewalld网络区域F

1. firewalld 防火墙预定义了9个区域

2. firewalld数据处理流程

3. firewalld检查数据包的源地址规则

四. Firewalld防火墙的配置方法

1. 常用的firewall-cmd 命令选项

五. 区域管理

1. 显示当前系统中的默认区域

2. 显示默认区域的所有规则

3. 显示当前正在使用的区域及其对应的网卡接口

4. 设置默认区域

六. 服务管理

1. 查看默认区域内允许访问的所有服务

2. 添加httpd 服务到public 区域

3. 查看public 区域已配置规则

4. 删除public 区域的httpd 服务

5. 同时添加httpd、https 服务到默认区域,设置成永久生效

七. 端口管理

1. 允许TCP的443端口到internal区域

2. 从internal 区域将TCP的443端口移除

3. 允许UDP的2048~2050端口到默认区域

一. Firewalld防火墙基础

1. Firewalld概述

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

  • 支持lPv4、IPv6防火墙设置以及以太网桥

  • 支持服务或应用程序直接添加防火墙规则接口

  • 拥有两种配置模式:运行时配置/永久配置

firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具

2. Firewalld和iptables的区别

iptables主要是基于接口,来设置规则,从而判断网络的安全性。firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似

iptables在/etc/ sysconfig/iptables中储存配置,firewalld将配置储存在/etc/firewalld/ ( 优先加载)和/usr/lib/ firewalld/ ( 默认的配置文件)中的各种XML文件里

使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。

使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

iptables防火墙类型为静态防火墙(导入数据需要重启后才会生效)一 会对新的链接有限firewalld防火墙类型为动态防火墙(导入数据可以直接生效)

二. Firewalld网络区域

1. firewalld 防火墙预定义了9个区域

  • trusted(信任区域):允许所有的传入流量
  • public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
  • external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为 路由器启用了伪装功能的外部网络
  • home(家庭区域):允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
  • internal(内部区域):默认值时与home区域相同
  • work(工作区域):允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
  • dmz(隔离区域也称为非军事区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝
  • block(限制区域):拒绝所有传入流量
  • drop(丢弃区域):丢弃所有传入流量,并且不产生包含ICMP的错误响应

最终一个区域的安全程度是取决于管理员在此区域中设置的规则

区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入

可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口

默认情况下,public区域是默认区域,包含所有接口(网卡)

2. firewalld数据处理流程

  • 检查数据来源的源地址
  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域,并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行区域所指定的规则

3. firewalld检查数据包的源地址规则

若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则

若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则

若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则

四. Firewalld防火墙的配置方法

  • 使用firewall-cmd 命令行工具
  • 使用firewall-config 图形工具
  • 编写/etc/firewalld/中的配置文件

1. 常用的firewall-cmd 命令选项

--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
 
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
 
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
 
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
 
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
 
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
 
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> :为指定区域 设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
 
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有 ICMP 类型

五. 区域管理

1. 显示当前系统中的默认区域

  • firewall-cmd --get-default-zone

2. 显示默认区域的所有规则

  • firewall-cmd --list-all

3. 显示当前正在使用的区域及其对应的网卡接口

  • firewall-cmd --get-active-zones

4. 设置默认区域

  • firewall-cmd --set-default-zone=home
  • firewall-cmd --get-default-zone

六. 服务管理

1. 查看默认区域内允许访问的所有服务

  • firewall-cmd --list-service

2. 添加httpd 服务到public 区域

  • firewall-cmd --add-service=http --zone=public

3. 查看public 区域已配置规则

  • firewall-cmd --list-all --zone=public

4. 删除public 区域的httpd 服务

  • firewall-cmd --remove-service=http --zone=public

5. 同时添加httpd、https 服务到默认区域,设置成永久生效

  • firewall-cmd --add-service=http --add-service=https --permanent
  • firewall-cmd --add-service={http,https} --permanent
  • firewall-cmd --reload 
  • firewall-cmd --list-all

添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效

若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效

  • --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置

七. 端口管理

1. 允许TCP的443端口到internal区域

  • firewall-cmd --zone=internal --add-port=443/tcp
  • firewall-cmd --list-all --zone=internal

2. 从internal 区域将TCP的443端口移除

  • firewall-cmd --zone=internal --remove-port=443/tcp

3. 允许UDP的2048~2050端口到默认区域

  • firewall-cmd --add-port=2048-2050/udp
  • firewall-cmd --list-all

稻香·
关注
专栏目录
firewalld防火墙基础
qjwthink的博客
12-07 3749
目录 一、安全技术 1、不同的安全技术 二、Linux防火墙的介绍 1、Netfilter 2、防火墙的工具 三、firewalld服务 1、什么是firewalld 2、firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则 3、firewalld中zone 分类 四、命令行配置 1、基础命令 2、区域管理 3、服务管理 4、端口管理 一、安全技术 1、不同的安全技术 ·入侵检测系统(Intrusion Detection Systems)︰特点
Firewalld 防火墙基础
m0_71548847的博客
07-03 2444
firewalld 简介frewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。firewalld和iptables 的关系。
Linux:Firewalld防火墙基础原理与实操
著名艺术家
08-04 1703
本章详细讲解了firewalld基础以及如何应用FIREWALLD原理概述Firewalld与Iptables区域详细介绍Firewalld 数据处理流程Firewalld 防火墙的配置方法图形界面Firewalld-config图解实操验证原理实验要求与道具实验开始简述一下实验过程实验验证第二个要求验证第一个要求验证第三个要求验证最后恭喜看我文章的朋友跟我一起学习 FIREWALLD原理概述 ●支持网络区域所定义的网络链接以及接口安全等级的动态 防火墙管理工具 ●支持IPv4、IPv6防火 墙设置以及以
【Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 5296
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
Linux下双网卡Firewalld的配置流程
weixin_33877092的博客
04-23 191
实验室拟态存储的项目需要通过LVS-NAT模式通过LVS服务器来区隔内外网的服务,所以安全防护的重心则落在了LVS服务器之上。笔者最终选择通过firewalld放行端口的方式来实现需求,由于firewall与传统Linux使用的iptable工具有不小的区别,接下来通过博客来记录一下firewalld的配置流...
centos7之firewalld概述及拓扑(一)
aizhen_forever的博客
10-30 2016
centos7 使用的默认防火墙,其优点使用效能更高,处理速度更快,对用户透明,而且跟加稳定。在对比iptables,本博文以图文结合,讲解了firewalld工作流程.
Firewalld 允许指定IP访问端口
zengjianze的博客
11-15 7315
首先创建一个适当的区域名称(在我们的例子中,我们使用了mariadb access来允许访问MySQL数据库服务器)。 # firewall-cmd --new-zone=mariadb-access --permanent 接下来,重新加载firewalld设置以应用新更改。如果跳过此步骤,则在尝试使用新区域名称时可能会出错。这一次,新区域应该出现在区域列表中,如下面的屏幕截图所示。 # firewall-cmd --reload # firewall-cmd --get-zones 接下来,添加要在
firewalld配置只允许指定IP地址访问
热门推荐
Dexter's Laboratory
08-17 1万+
之前记录过这篇笔记:使用firewall-cmd限制ssh只能从指定IP段访问,现在对安全的要求更严格了,对内网环境的特定服务器,现在只允许指定IP或IP段进行访问,其他一律屏蔽,配置步骤如下: # 先确认并开启firewalld服务 $ sudo systemctl status firewalld $ sudo systemctl enable firewalld $ sudo systemctl start firewalld # 直接编辑xml配置文件,比用firewall-cmd命令更方便其实(C
Linux(RHEL7及CentOS7)最简单的firewalld防火墙操作流程
晨曦蜗牛
11-14 4504
经常看到网上的一些文章,遇到防火墙就关闭,禁用,好low!从Redhat7或者CentOS7开始,系统默认防火墙已经变更为firewalld,本着存在即合理的原则,经过几天的摸索,总结了一个简单的防火墙规则操作流程,跟大家分享一下。鉴于鄙人才疏学浅,若有纰漏之处,敬请多多指教! 1、看一下所有配置情况。 [root@Geeklp201 ~]# firewall-cmd --list-all p
CentOS7系统的Firewalld防火墙基础详解
weixin_45409403的博客
11-11 831
Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,支持IPv4、IPv6防火 墙设置以及以太网桥,支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalld和iptables的关系 netfilter: 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态” Firewalld/iptable...
oceanbase V4.2.2社区版集群离线部署
最新发布
king_harry的专栏
11-01 667
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
docker 常用命令
xiaogg3678的专栏
11-01 258
docker 常用命令
Kubeadm搭建k8s
YCyjs的博客
10-29 1208
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
nginx常用负载均衡策略及使用场景
希望能解决大家的问题,也欢迎老哥们来骚扰技术交流业务中的问题
10-31 222
根据指定的Key(例如URL、请求参数)进行哈希计算,确保特定请求始终访问同一台服务器。:适合后端服务器性能较均衡,且业务请求较简单、时间较短的情况,比如静态资源服务等。:适合处理时间较长的业务场景,比如视频转码、文件处理等,能够避免服务器负载不均。:根据客户端IP的哈希值分配请求,同一IP的请求会始终分配到同一台服务器上。:适合服务器配置不均衡的情况,可以将更多请求分配到性能更好的服务器上。:为每台服务器设置不同的权重,权重高的服务器分配的请求更多。:将请求分配到当前连接数最少的服务器上。
如何在Linux系统中使用LVM进行磁盘管理
qq_36287830的博客
10-29 1071
LVM是一种将多个物理磁盘合并成一个或多个逻辑卷的机制,使得磁盘管理更加方便。通过本文,你已经学习了如何在Linux系统中使用LVM进行磁盘管理。我们介绍了LVM的基本概念、安装方法、创建物理卷、卷组、逻辑卷、格式化和挂载逻辑卷、扩展逻辑卷、调整卷组、使用LVM快照、监控LVM状态、备份与恢复、LVM与RAID、LVM与加密、LVM与快照克隆以及LVM的高级特性等内容。掌握了这些知识,将有助于你在实际工作中更好地管理Linux系统的存储资源。
CentOS 7 Firewalld防火墙基础命令深度解析与实战
1. **包过滤防火墙基础**: Linux防火墙基于内核的netfilter模块,这是一种实时的网络层过滤技术,它决定了哪些网络数据包被允许通过。firewalld作为一个用户空间工具,负责管理和维护这些规则,使得防火墙配置更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值