(一)系统服务
firewalld
(二)管理工具
firewalld-cmd:终端命令
firewalld-config:图形化界面
(三)预设保护规则集
public:仅允许访问本机的sshd、dhcp、ping等少数几个服务
trusted:允许任何访问
block:阻塞任何来访请求(明确拒绝)
drop:丢弃任何来访的数据包(直接丢弃,不给客户端回应。节省服务端资源)
(四)防火墙匹配原则:匹配即停止
查看数据包中源IP地址,然后查询所有区域中的规则,哪一个区域中有该源IP地址的规则,则进入哪一个区域。
进入默认区域(public,可以修改)
查看默认区域:firewall-cmd --get-default-zone
修改默认区域:firewall-cmd --set-default-zone=block
(五)区域中添加策略
(1)互联网常见协议
http:80:超文本传输协议
https:443:安全的超文本传输协议
FTP:21:文件传输协议
TFTP:69:简单的文件传输协议
telnet:23:远程管理协议
DNS:53:域名解析协议
snmp:161:简单的网络管理协议
smtp:25:邮件协议(发邮件)
pop3:110:邮件协议(收邮件)
(2)查看区域下的规则
firewall-cmd --zone=public --list-all
(3)给默认区域下添加一个策略,允许http协议
firewall-cmd --zone=public --add-service=http
--remove:删除
(4)永久配置(permanent)
firewall-cmd --permanent --zone=public --add-service=http
永久配置是将配置信息写入到配置文件中,不会直接生效
刷新防火墙策略:firewall-cmd --reload
(5)添加ip限制
firewall-cmd --zone=block --add-source=10.10.173.110
(6)简单常用策略模式
宽松:默认区域为trusted,单独拒绝的源ip地址写入block
严格:默认区域为block,单独允许的源ip地址写入trusted
(六)端口映射
从客户机访问端口1:5423的请求,自动映射到本机端口2:80
firewall-cmd --permanent --zone=piblic --add-forward-port=port=5423:proto=tcp:toport:80