1.什么是firewalld?
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出
防火墙是系统的第一道防线,其作用是防止非法用户的进入
centos 7中防火墙FirewallD是一个非常的强大的功能了, FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接
以及接口安全等级的动态防火墙管理工具,它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项
它也支持允许服务或者应用程序直接添加防火墙规则的接口
以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启
这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等,而模块的卸载将会破坏状态防火墙和确立的连接
相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改,因而也就没有必要重载所有内核防火墙模块了
不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的
另外,firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则
2.搭建实验环境
步骤一:在真机里面重置并且开启我的desktop虚拟机
步骤二:给desktop虚拟机配置网络
重启网络那一步没有截
步骤三:给desktop虚拟机搭建本地yum源
步骤四:给desktop主机安装firewalld服务
yum search firewalld安装firewalld服务
systemctl stop iptables关闭这个火墙,为了不影响firewalld的实验效果
systemctl mask iptables锁住这个服务
systemctl start firewalld开启firewalld服务器
systemctl enable firewalld设置开机启动
步骤五:查看防火墙状态:systemctl status firewalld
步骤六:在desktop主机上面安装apache服务
3.firewalld中的区域管理
(1)网络区域简介
通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流
例如,互联网是不可信任的区域,而内部网络是高度信任的区域
网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化
该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式
(2)有如下几种不同的初始化区域
| 阻塞区域(block) | 任何传入的网络数据包都将被阻止 |
|---|---|
| 工作区域(work) | 相信网络上的其他计算机,不会损害你的计算机 |
| 家庭区域(home) | 相信网络上的其他计算机,不会损害你的计算机 |
| 公共区域(public) | 不相信网络上的任何计算机,只有选择接受传入的网络连接 |
| 隔离区域(DMZ) | 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 |
| 信任区域(trusted) | 所有的网络连接都可以接受 |
| 丢弃区域(drop) | 任何传入的网络连接都被拒绝 |
| 内部区域(internal) | 信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接 |
| 外部区域(external) | 不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接 |
注:FirewallD的默认区域是public
4.使用图形界面管理firewalld防火墙
firewall-config 输入这个命令,firewalld图形化管理,在里面进行一系列设置
可以看出此时desktop的firewalld的网络域是public
在真机的浏览器里面访问desktop的apache应该访问不到
现在更改desktop的火墙的网络域
再次在真机的浏览器里面访问desktop的apache应该可以访问到了
在真机里面ssh连接desktop应该可以,因为此时是trusted
在desktop里面将网络域由trusted改为block
最低0.47元/天 解锁文章
1905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
