目录
一、firewalld概述
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。
二、firewalld 与 iptables 的区别
iptables | firewalld | |
配置文件 | /etc/sysconfig/iptables | /etc/firewalld/ 优先加载,保存用户自定义的配置 /usr/lib/firewalld/ 默认的初始配置 |
对规则的修改 | 立即生效,可能中断现有连接 | 不需要全部刷新策略,不中断现有连接 |
防火墙类型 | 静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略) | 动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略) |
三、firewalld 区域
1.firewalld 区域的概念
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
2.firewalld防火墙预定义的9个区域
区域 | 作用 |
trusted(信任区域) | 允许所有的传入流量 |
public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域 |
external(外部区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络 |
home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。 |
internal(内部区域) | 默认值时与home区域相同 |
work(工作区域) | 允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝 |
dmz(隔离区域也称为非军事区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝 |
block(限制区域) | 拒绝所有传入流量 |
drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含 ICMP的错误响应 |
注意:
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)
四、firewalld数据处理
1.firewalld数据处理流程
firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
2.firewalld检查数据包的源地址的规则
1)若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
2)若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
3)若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。
五、firewalld-cmd 命令行操作管理
1.查
firewall-cmd --get-default-zone 查看当前默认区域
--get-active-zones 查看当前已激活的区域
--get-zones 查看所有可用的区域
--list-all-zones 查看所有区域的规则
--list-all --zone=区域名 查看指定区域的规则
--list-services --zone=区域名 查看指定区域允许访问的服务列表
--list-ports --zone=区域名 查看指定区域允许访问的端口列表
--get-zone-of-interface=网卡名 查看与网卡绑定的区域
--get-icmptypes 查看所有icmp类型
[root@bogon ~]# firewall-cmd --get-default-zone #查看当前默认区域
public
[root@bogon ~]# firewall-cmd --get-active-zone #查看当前已激活区域
work
interfaces: ens33
[root@bogon ~]# firewall-cmd --list-all --zone=public #查看指定区域的规则
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
2.增
firewall-cmd --add-interface=网卡名 --zone=区域名 给指定区域添加绑定的网卡
--add-source=源地址 --zone=区域名 给指定区域添加源地址
--add-service=服务名 --zone=区域名 给指定区域添加允许访问的服务
--add-service={服务名1,服务名2,...} --zone=区域名 给指定区域添加允许访问的服务列表
--add-port=端口/协议 --zone=区域名 给指定区域添加允许访问的端口
--add-port=端口1-端口2/协议 --zone=区域名 给指定区域添加允许访问的连续的端口列表
--add-port={端口1,端口2,...}/协议 --zone=区域名 给指定区域添加允许访问的不连续的端口
--add-icmp-block=icmp类型 --zone=区域名 给指定区域添加拒绝访问的icmp类型
[root@bogon ~]# firewall-cmd --add-service=http #添加单个服务
success
[root@bogon ~]# firewall-cmd --add-service={ftp,https} --zone=work #指定区域添加服务
success
3.删
firewall-cmd --remove-service=服务名 --zone=区域名
--remove-port=端口/协议 --zone=区域名
--remove-icmp-block=icmp类型 --zone=区域名
--remove-interface=网卡名 --zone=区域名 从指定区域里删除绑定的网卡
--remove-source=源地址 --zone=区域名 从指定区域里删除绑定的源地址
[root@bogon ~]# firewall-cmd --remove-service={ftp,https} --zone=work #指定区域删除
success
4.改
firewall-cmd --set-default-zone 修改当前默认区域
--change-interface=网卡名 --zone=区域名 修改/添加网卡 绑定给指定区域
--change-source=源地址 --zone=区域名 修改/添加源地址 绑定给指定区域
[root@bogon ~]# firewall-cmd --set-default-zone=work
success
[root@bogon ~]# firewall-cmd --get-default-zone
work
[root@bogon ~]#
5.永久配置
1)运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)
firewall-cmd ....
firewall-cmd --runtime-to-permanent 将之前的运行时配置都转换成永久配置
[root@bogon ~]# firewall-cmd --add-service={ftp,https} --zone=work
success
[root@bogon ~]# firewall-cmd --runtime-to-permanent
success
[root@bogon ~]#
2)永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)
firewall-cmd .... --permanent
firewall-cmd --reload 或 systemctl restart firewalld
[root@bogon ~]# firewall-cmd --add-service={http,https,ftp} --zone=internal
success
[root@bogon ~]# firewall-cmd --reload
success
[root@bogon ~]# firewall-cmd --list-all
work (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: dhcpv6-client ftp http https ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@bogon ~]#