防火墙----firewalld

最新推荐文章于 2023-05-16 11:03:49 发布

wmc995620

最新推荐文章于 2023-05-16 11:03:49 发布

阅读量114

点赞数

文章标签：网络运维网络协议

本文链接：https://blog.csdn.net/wmc995620/article/details/125351514

版权

本文介绍了CentOS7中firewalld防火墙的基本概念、与iptables的区别，以及如何通过firewall-cmd命令行工具进行区域管理和服务配置。firewalld以区域为基础，提供动态防火墙管理，简化了网络流量的安全控制，预设了多个安全级别不同的区域，如public、trusted等。此外，文章还展示了如何添加、删除服务和端口规则，以及转换运行时配置为永久配置。

摘要由CSDN通过智能技术生成

一、firewalld概述
firewalld防火墙是Centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
它支持IPv4、IPv6防火墙设置以及以太网桥( 在某些高级服务可能会用到，比如云计算)，
并且拥有两种配置模式:运行时配置与永久配置。

1.firewalld与iptables 的区别
（一）
iptables主要是基于接口，来设置规则，从而判断网络的安全性。
firewalld是基于区域，根据不同的区域来设置不同的规则，从而保证网络的安全。与硬件防火墙的设置相类似。

（二）
iptables在/etc/ sysconfig/iptables中储存配置，
firewalld将配置储存在/etc/firewalld/ (优先加载)和/usr/lib/firewalld/ ( 默认的配置文件)中的各种XML文件里。

（三）
使用iptables每一-个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
使用firewalld 却不会再创建任何新的规则，仅仅运行规则中的不同之处。因此firewalld可以在运行时间内，
改变设置而不丢失现行连接。

（四）
iptables防火墙类型为静态防火墙
firewalld防火墙类型为动态防火墙

2.firewalld区域的概念
firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone) 。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

Firewalld网络区域

区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
默认情况下，public区域是默认区域，包含所有接口(网卡)

Firewalld数据处理流程

检查数据来源的源地址

若源地址关联到特定的区域，则执行该区域所指定的规则
若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

firewalld防火墙预定义了9个区域

区域	说明
trusted (信任区域)	允许所有的传入流量。
public (公共区域)	允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。
external (外部区域)	允许与ssh预定义服务匹配的传入流量，其余均拒绝。默认将通过此区域转发的IPv4传出流量将进行地址伪装，可用于为路由器启用了伪装功能的外部网络。
home (家庭区域)	允许与ssh、 ipp-client、 mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。
internal (内部区域)	默认值时与home区域相同。
work (工作区域)	允许与ssh、 ipp-client、dhcpv6-client 预定义服务匹配的传入流量，其余均拒绝。
dmz (隔离区域也称为非军事区域)	允许与ssh预定义服务匹配的传入流量，其余均拒绝。
block (限制区域)	拒绝所有传入流量。
drop (丢弃区域)	丢弃所有传入流量，并且不产生包含ICMP的错误响应。

firewalld检查数据包的源地址的规则

1.若源地址关联到特定的区域(即源地址或接C]绑定的区域有冲突)，则执行该区域所制定的规则。

2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突)，则使用传入网络接口的区域并执行该区域所制定的规则。

3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域)，则使用默认区域并执行该区域所制定的规则。

二、firewalld防火墙的配置方法
1、使用firewall-cmd命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/ firewalld/中的配置文件。

运行时配置
实时生效，并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置

永久配置
不立即生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置1.常用的firewall-cmd命令选项

--get-default-zone                                   显示当前默认区域
--set-default-zone=<zone>                            设置默认区域

--get-active-zones                                   显示当前正在使用的区域及其对应的网卡接口.
--get-zones                                          显示所有可用的区域

--get-zone-of-interface=<interface>                  显示指定接口绑定的区域
-- zone=<zone>--add-interface=<interface>            为指定接口绑定区域
--zone=<zone>--change-interface=<interface>          为指定的区域更改绑定的网络接口
-- zone=<zone>-- remove-interface=<interface>        为指定的区域删除绑定的网络接口

--zone=<zone> --add-source=<source> [/<mask>]       为指定源地址绑定区域
--zone=<zone> --change-source=<source>[/<mask>]     为指定的区域更改绑定的源地址
--zone=<zone> --remove-source=<source>[/<mask>]     为指定的区域删除绑定的源地址

--list-all-zones                   显示所有区域及其规则
[--zone=<zone>] --list-all         显示所有指定区域的所有规则，省略--zone=<zone>时表示仅对默认区域操作

[--zone=<zone>] --list-services                       显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service>               为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service>            删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --list-ports                                 显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol>   为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] -- remove- port=<portid> [-<portid>]/<protocol>    删除指定区域已设置的允许访问的端口号( 包括协议名)

[--zone=<zone>] --list-icmp-blocks                 显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype>        为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] --remove-icmp-block=<icmptype>     删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes                       显示所有ICMP类型

2.服务管理

查看默认区域内允许访问的所有服务
firewall-cmd --list-service

添加httpd服务到public区域
firewall-cmd --add-service=http --zone=publ ic

查看public区域已配置规则
firewall-cmd --list-all --zone=public

删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public

同时添加httpd、https服务到默认区域，设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd -- add- service= {http, https, ftp} --zone=internal
firewall-cmd -- reload
firewall-cmd --list-all

将当前的运行时配置写入规则配置文件中，使之成为永久性配置
firewall-cmd -- runtime - to-permanent

添加使用–permanent选项表 示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项，表示用于设置运行时规则，但是这些规则在系统或firewalld服务重启、停止时配置将失效。

3.端口管理

允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal

从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp

允许UDP的2000~2050端口到默认区域
firewall-cmd --add-port=2000-2050/udp
firewall-cmd --list-all