防火墻簡(jiǎn)介（二）——firewalld防火墻

• 一、firewalld防火墻簡(jiǎn)介
• 二、firewalld 與 iptables 的區(qū)別
• 三、firewalld 區(qū)域的概念
• • 1、firewalld防火墻9個(gè)區(qū)域
  • 2、區(qū)域介紹
• 四、firewalld數(shù)據(jù)處理流程
• 五、firewalld檢查數(shù)據(jù)包的源地址規(guī)則
• 六、firewalld防火墻的配置方法
• • 1、使用firewall-cmd 命令行工具
  • 2、使用firewall-config 圖形工具
  • 3、編寫(xiě)/etc/firewalld/中的配置文件
• 七、區(qū)域管理
• 八、服務(wù)管理
• 九、端口管理

---

一、firewalld防火墻簡(jiǎn)介

• firewalld防火墻是Centos7系統(tǒng)默認(rèn)的防火墻管理工具，取代了之前的iptables防火墻，也是工作在網(wǎng)絡(luò)層，屬于包過(guò)濾防火墻

• firewalld和iptables都是用來(lái)管理防火墻的工具(屬于用戶態(tài))來(lái)定義防火墻的各種規(guī)則功能，內(nèi)部結(jié)構(gòu)都指向netfilter網(wǎng)絡(luò)過(guò)濾子系統(tǒng)(屬于內(nèi)核態(tài))來(lái)實(shí)現(xiàn)包過(guò)濾防火墻功能。

• firewalld提供了支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)連接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具。

• 它支持IPv4、 IPv6防火墻設(shè)置以及以太網(wǎng)橋(在某些高級(jí)服務(wù)可能會(huì)用到，比如云計(jì)算)，并且擁有兩種配置模式:運(yùn)行時(shí)配置與永久配置。

二、firewalld 與 iptables 的區(qū)別

• 1、iptables主要是基于接口，來(lái)設(shè)置規(guī)則，從而判斷網(wǎng)絡(luò)的安全性。
  - firewalld是基于區(qū)域，根據(jù)不同的區(qū)域來(lái)設(shè)置不同的規(guī)則，從而保證網(wǎng)絡(luò)的安全。與硬件防火墻的設(shè)置相類似。

• 2、iptables在/etc/ sysconfig/iptables中儲(chǔ)存配置,

  • firewalld將配置儲(chǔ)存在/etc/firewalld/ ( 優(yōu)先加載)和/usr/lib/ firewalld/ ( 默認(rèn)的配置文件)中的各種XML文件里。

• 3、使用iptables每一個(gè)單獨(dú)更改意味著清除所有舊有的規(guī)則和從/etc/sysconfig/iptables里讀取所有新的規(guī)則。

  • 使用firewalld卻不會(huì)再創(chuàng)建任何新的規(guī)則，僅僅運(yùn)行規(guī)則中的不同之處。因此firewalld可以在運(yùn)行時(shí)間內(nèi)，改變?cè)O(shè)置而不丟失現(xiàn)行連接。

• 4、iptables防火墻類型為靜態(tài)防火墻

  • firewalld防火墻類型為動(dòng)態(tài)防火墻

三、firewalld 區(qū)域的概念

• firewalld防火墻為了簡(jiǎn)化管理，將所有網(wǎng)絡(luò)流量分為多個(gè)區(qū)域（zone）。然后根據(jù)數(shù)據(jù)包的源IP地址或傳入的網(wǎng)絡(luò)接口等條件將流量傳入相應(yīng)區(qū)域。每個(gè)區(qū)域都定義了自己打開(kāi)或者關(guān)閉的端口和服務(wù)列表。

1、firewalld防火墻9個(gè)區(qū)域

區(qū)域說(shuō)明

trusted（信任區(qū)域）	允許所有的傳入流量。
public（公共區(qū)域）	允許與ssh或dhcpv6-client預(yù)定義服務(wù)匹配的傳入流量，其余均拒絕。是新添加網(wǎng)絡(luò)接口的默認(rèn)區(qū)域。
external（外部區(qū)域）	允許與 ssh 預(yù)定義服務(wù)匹配的傳入流量，其余均拒絕。 默認(rèn)將通過(guò)此區(qū)域轉(zhuǎn)發(fā)的IPv4傳出流量將進(jìn)行地址偽裝，可用于為 路由器啟用了偽裝功能的外部網(wǎng)絡(luò)。
home（家庭區(qū)域）	允許與ssh、ipp-client、mdns、samba-client或dhcpv6-client預(yù)定義服務(wù)匹配的傳入流量，其余均拒絕。
internal（內(nèi)部區(qū)域）	默認(rèn)值時(shí)與home區(qū)域相同。
work（工作區(qū)域）	允許與 ssh、ipp-client、dhcpv6-client 預(yù)定義服務(wù)匹配的傳入流量，其余均拒絕。
dmz（隔離區(qū)域也稱為非軍事區(qū)域）	允許與 ssh 預(yù)定義服務(wù)匹配的傳入流量，其余均拒絕。
block（限制區(qū)域）	拒絕所有傳入流量。
drop（丟棄區(qū)域）	丟棄所有傳入流量，并且不產(chǎn)生包含ICMP的錯(cuò)誤響應(yīng)。

2、區(qū)域介紹

• 最終一個(gè)區(qū)域的安全程度是取決于管理員在此區(qū)域中設(shè)置的規(guī)則。
• 區(qū)域如同進(jìn)入主機(jī)的安全門，每個(gè)區(qū)域都具有不同限制程度的規(guī)則，只會(huì)允許符合規(guī)則的流量傳入。
• 可以根據(jù)網(wǎng)絡(luò)規(guī)模，使用一個(gè)或多個(gè)區(qū)域，但是任何一個(gè) 活躍區(qū)域 至少需要關(guān)聯(lián) 源地址或接口。
• 默認(rèn)情況下，public區(qū)域是默認(rèn)區(qū)域，包含所有接口（網(wǎng)卡）

四、firewalld數(shù)據(jù)處理流程

• firewalld對(duì)于進(jìn)入系統(tǒng)的數(shù)據(jù)包，會(huì)根據(jù)數(shù)據(jù)包的源IP地址或傳入的網(wǎng)絡(luò)接口等條件，將數(shù)據(jù)流量轉(zhuǎn)入相應(yīng)區(qū)域的防火墻規(guī)則。對(duì)于進(jìn)入系統(tǒng)的數(shù)據(jù)包，首先檢查的就是其源地址。

五、firewalld檢查數(shù)據(jù)包的源地址規(guī)則

• 1、若源地址關(guān)聯(lián)到特定的區(qū)域（即源地址或接口綁定的區(qū)域有沖突），則執(zhí)行該區(qū)域所制定的規(guī)則。

• 2、若源地址未關(guān)聯(lián)到特定的區(qū)域（即源地址或接口綁定的區(qū)域沒(méi)有沖突），則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所制定的規(guī)則。

• 3、若網(wǎng)絡(luò)接口也未關(guān)聯(lián)到特定的區(qū)域（即源地址或接口都沒(méi)有綁定特定的某個(gè)區(qū)域），則使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所制定的規(guī)則。

六、firewalld防火墻的配置方法

1、使用firewall-cmd 命令行工具

--get-default-zone ：顯示當(dāng)前默認(rèn)區(qū)域--set-default-zone=<zone> ：設(shè)置默認(rèn)區(qū)域--get-active-zones ：顯示當(dāng)前正在使用的區(qū)域及其對(duì)應(yīng)的網(wǎng)卡接口--get-zones ：顯示所有可用的區(qū)域--get-zone-of-interface=<interface> ：顯示指定接口綁定的區(qū)域--zone=<zone> --add-interface=<interface> ：為指定接口綁定區(qū)域--zone=<zone> --change-interface=<interface> ：為指定的區(qū)域更改綁定的網(wǎng)絡(luò)接口--zone=<zone> --remove-interface=<interface> ：為指定的區(qū)域刪除綁定的網(wǎng)絡(luò)接口--get-zone-of-source=<source>[/<mask>] ：顯示指定源地址綁定的區(qū)域--zone=<zone> --add-source=<source>[/<mask>] ：為指定源地址綁定區(qū)域--zone=<zone> --change-source=<source>[/<mask>] ：為指定的區(qū)域更改綁定的源地址--zone=<zone> --remove-source=<source>[/<mask>] ：為指定的區(qū)域刪除綁定的源地址--list-all-zones ：顯示所有區(qū)域及其規(guī)則[--zone=<zone>] --list-all ：顯示所有指定區(qū)域的所有規(guī)則，省略--zone=<zone>時(shí)表示僅對(duì)默認(rèn)區(qū)域操作[--zone=<zone>] --list-services ：顯示指定區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)[--zone=<zone>] --add-service=<service> ：為指定區(qū)域設(shè)置允許訪問(wèn)的某項(xiàng)服務(wù)[--zone=<zone>] --remove-service=<service> ：刪除指定區(qū)域已設(shè)置的允許訪問(wèn)的某項(xiàng)服務(wù)[--zone=<zone>] --list-ports ：顯示指定區(qū)域內(nèi)允許訪問(wèn)的所有端口號(hào)[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> ：為指定區(qū)域設(shè)置允許訪問(wèn)的某個(gè)/某段端口號(hào)（包括協(xié)議名）[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> ：刪除指定區(qū)域已設(shè)置的允許訪問(wèn)的端口號(hào)（包括協(xié)議名）[--zone=<zone>] --list-icmp-blocks ：顯示指定區(qū)域內(nèi)拒絕訪問(wèn)的所有 ICMP 類型[--zone=<zone>] --add-icmp-block=<icmptype> ：為指定區(qū)域設(shè)置拒絕訪問(wèn)的某項(xiàng) ICMP 類型[--zone=<zone>] --remove-icmp-block=<icmptype> ：刪除指定區(qū)域已設(shè)置的拒絕訪問(wèn)的某項(xiàng)ICMP類型firewall-cmd --get-icmptypes ：顯示所有 ICMP 類型

2、使用firewall-config 圖形工具

3、編寫(xiě)/etc/firewalld/中的配置文件

七、區(qū)域管理

顯示當(dāng)前系統(tǒng)中的默認(rèn)區(qū)域 firewall-cmd --get-default-zone顯示默認(rèn)區(qū)域的所有規(guī)則 firewall-cmd --list-all顯示當(dāng)前正在使用的區(qū)域及其對(duì)應(yīng)的網(wǎng)卡接口 firewall-cmd --get-active-zones設(shè)置默認(rèn)區(qū)域 firewall-cmd --set-default-zone=home firewall-cmd --get-default-zone

八、服務(wù)管理

查看默認(rèn)區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù) firewall-cmd --list-service添加httpd 服務(wù)到public 區(qū)域 firewall-cmd --add-service=http --zone=public查看public 區(qū)域已配置規(guī)則 firewall-cmd --list-all --zone=public刪除public 區(qū)域的httpd 服務(wù) firewall-cmd --remove-service=http --zone=public同時(shí)添加httpd、https 服務(wù)到默認(rèn)區(qū)域，設(shè)置成永久生效 firewall-cmd --add-service=http --add-service=https --permanent firewall-cmd --reload firewall-cmd --list-all #添加使用 --permanent選項(xiàng)表示設(shè)置成永久生效，需要重新啟動(dòng)firewalld服務(wù)或執(zhí)行firewall-cmd --reload命令 重新加載防火墻規(guī)則時(shí)才會(huì)生效。若不帶有此選項(xiàng)，表示用于設(shè)置運(yùn)行時(shí)規(guī)則，但是這些規(guī)則在系統(tǒng)或firewalld服務(wù)重啟、停止時(shí)配置將失效。 --runtime-to-permanent：將當(dāng)前的運(yùn)行時(shí)配置寫(xiě)入規(guī)則配置文件中，使之成為永久性配置。

九、端口管理

允許TCP的443端口到internal區(qū)域 firewall-cmd --zone=internal --add-port=443/tcp firewall-cmd --list-all --zone=internal從internal 區(qū)域?qū)CP的443端口移除 firewall-cmd --zone=internal --remove-port=443/tcp允許UDP的2048~2050端口到默認(rèn)區(qū)域 firewall-cmd --add-port=2048-2050/udp firewall-cmd --list-all

總結(jié)

以上是生活随笔為你收集整理的防火墙简介（二）——firewalld防火墙的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。