Firewalld防火墙
防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合,也就是不同安全域之间信息的唯一出口。通过检测,限制并更改数据流,尽可能地对外屏蔽网络内部的信息,结构和运行状态,且有选择地接受外部网络访问,在内部网之间架起一道屏障,以免发生不可预知或潜在的入侵。
传统的意义上来说防火墙技术分为三类:
包过滤(Packet Filtering)
应用代理(Application Proxy)
状态检测(Stateful Inspection)。
无论防火墙的实现过程有多复杂,归根结底都是由以上三个技术的基础构成的。
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称作网络层防火墙)。
Linux系统中的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,所以firewalld防火墙获得广泛的应用。
Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。
Firewalld:只用于管理Linux防火墙的命令程序,属于“用户态”(User Space。又称为用户空间)的防火墙管理体系。
Firewalld概念:
Firewalld简介:
Firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。
Firewalld网络区域:
Firewall将所有的网络数据流量划分为多个区域,从而简化防火墙管理,根据数据包的源IP地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。
对于已经进入系统的数据包,首先检查的就是起源地址。
若源地址关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
若网络接口未并联到特定的区域,则使用默认区域并执行该区域所有的规则。
默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是:public。但是系统管理员可以更改默认区域。
使用firewall-cmd –get-zones命令可以查看所有区域
Firewalld防火墙一共有九个区域,下面是详细说明一下每个区域:
Trusted(信任区域):可以接受所有的网络链接
Public(公共区域,也是默认区域):只允许相关流量ssh和dhcpv6-client服务流量进入,否则拒绝所有流量,只能接受经过选择地流量。
Work(工作区域):只允许相关流量ssh ipp=client dhcpv6-client服务流量进入,否则拒绝所有流量传入,用于工作区。
Home(家庭区域):只允许相关流量ssh ipp-client mdns samba-client dhcpv6-client服务流量进入,否则拒绝所有流量。
Internal(内部区域):只允许相关流量和ssh ipp-client mdns samba-client dhcpv6-client服务流量进入,否则拒绝所有流量,主要用于内部网络。
External(外部区域):只允许相关流量和ssh预定义服务匹配,否则拒绝所有流量。
Dmz(隔离区域):只允许相关流量和ssh预定义服务匹配,否则拒绝所有流量。
Block(限制区域):除非与传出流量相关,否则拒绝所有传入的流量。
Drop(丢弃区域):除非与传出流量相关,否则丢弃所有传入的流量。
Firewalld防火墙的配置方法:
在centos7系统中,可以使用三种方式配置firewalld防火墙:
Firewall-config:图形界面工具
Firewall-cmd:命令行工具
/etc/firewalld/:中的配置文件(注:一般情况下不建议修改配置文件)
一.firewall-config图像工具:
在命令界面输入:
Firewall-config主菜单包括四个菜单项:文件、选项、查看、帮助。其中“选项”菜单是最重要的,主要包括以下几个选项。
重新加载防火墙:重新加载防火墙规则,当前的永久配置家变成新的运行时配置。
更改链接区域:更改网络链接的所有区域和接口。
更改默认区域:更改网络链接的默认区域。
应急模式:表示丢弃所有的数据包。
锁定:可以丢弃所有的数据包。
二.firewall-cmd命令工具:
1.启动firewalld防火墙:
查看服务是否启动的第二种方法:
停止和禁用:
注:disable是永久性关闭服务。
Firewall-cmd预定义信息主要包括三种:可用的区域、可用的服务、可以用的ICMP阻塞类型:
2.查看所有预定义区域:
3.查看所有预定义的服务:
4.查看所有的预定义的ICMP类型:
5.Firewall-cmd –get-icmptypes命令的执行结果中各种阻塞类型的含义:
Destination-nureachable:目的地址不可达。
Echo-reply:答应回答(pong)。
Parameter-problem:参数问题。
Redirect:重新定向。
Router-advertisement:路由器通告。
Router-solicitation:路由器正寻。
Source-quench:远端抑制。
Time-exceeded:超时。
Timestamp-reply:时间戳答应回应。
Timestamp-request:时间戳请求。
6.区域管理:
使用firewall-cmd命令可以实现获取和管理区域,为了指定区域绑定网络接口等功能。
--get-default-zone:显示网络链接或接口的默认区域:
--set-default-zone=<zone>:设置网络链接或接口的默认区域:
--get-active-zones:显示已激活的所有区域并显示此区域的网卡名称:
--get-zone-of-interface=<interface>:显示指定接口绑定的区域:
--get-zone=<zone> --add-interface=<interface>:为指定接口绑定区域:
--get-zone=<zone> --change-interface=<interface>:为指定区域更改绑定的网络接口:
--get-zone=<zone> --remove-interface=<interface>:为指定区域删除绑定的网络接口:
--list-all-zones:显示所有区域及其规则:
[--zone=<zone>] –list-all:显示指定区域的信息和所有规则:
7.服务管理:
为了方便管理,firewalld预定义了很多服务,存放在/etc/lib/firewalld/services/目录中,服务器通过单个的XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml。每个文件对应一项具体的网络服务。当默认的提供的服务不适用于或者需要自定义预谋服务的端口时,这时候我们需要将service配置文件存放在/etc/firewalld/services/目录中。
Service配置具有以下优点:
通过服务名进行管理、通过服务端口分组模式更高效、更快捷的管理服务。
[--zone=<zone>]—list-services:查看指定区域内允许访问的所有服务:
[--zone=<zone>]—add-service=<service>:为指定区域设置允许访问的预定义服务:
[--zone=<zone>]—remove-service=<service>:删除指定区域已经设置的允许访问服务:
[--zone=<zone>]—list-ports:显示所有允许的访问的端口号:
[--zone=<zone>]—add-port=<portid>[-<portid>]/<protocol>:为指定区域设置允许访问某个端口号或协议名:
[--zone=<zone>]—remove-port=<portid>[-<portid>]/<protocol>:删除指定区域已设置的允许访问的端口号或协议名:
[--zone=<zone>]—list-icmp-blocks:显示指定区域内拒绝的所有ICMP类型:
[--zone=<zone>]—add-icmp-block=<icmptype>:为指定区域设置拒绝访问的预谋项ICMP类型:
[--zone=<zone>]—remove-icmp-block=<icmptype>:删除指定区域设置拒绝访问的预定义访问ICMP类型:
8.端口管理:
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开,但是对于非预定义的服务只能手动指定的区域添加端口。
手动添加TCP的443端口:
9.两种配置模式:
运行时模式(Runtime mode):表示当前内存中运行的防火墙配置,--reload:重新加载防火墙规则并保持状态信息,但临时写入的预定义允许访问则会消失。
永久配置模式(Permanent mode):表示重启防火墙时的规则配置,--permanent:带有选项的命令用于设置永久性规则,即便重启防火墙也存在写入允许访问列表。
写入配置文件成永久模式:将当前的运行时配置写入规则配置文件中,--runtime-to-permanent:
将当前的运行时配置写入规则配置文件中,这个就直接写入配置文件中了。
8460
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
