微信公眾號：運維開發(fā)故事，作者：wanger

背景描述

防火墻是具有很好的保護(hù)作用。***者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機。在公司里數(shù)據(jù)安全是最重要的，要求安全部門進(jìn)行全公司進(jìn)行服務(wù)器防火墻安全搭建，在原有的基礎(chǔ)上進(jìn)行安全的防火墻設(shè)置，有效避免安全隱患等問題,建議大家還是花個十多分鐘好好看一下防火墻的理論，這樣便于后期問題排查，最后一小節(jié)有常用命令操作。

主要內(nèi)容

• 1 詳細(xì)了解防火墻相關(guān)配置；
• 2 詳細(xì)解讀相關(guān)安全配置方法；
• 3 詳細(xì)解讀firewalld防火墻的基礎(chǔ)知識；
• 4 了解firewalld防火墻的配置；
• 5 了解firewalld防火墻相關(guān)命令的使用。

1.Linux防火墻概述

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。它通過訪問控制機制，確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部請求可以訪問內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出內(nèi)部網(wǎng)。
防火墻通過審查經(jīng)過的每一個數(shù)據(jù)包，判斷它是否有相匹配的過濾規(guī)則，根據(jù)規(guī)則的先后順序進(jìn)行一一比較，直到滿足其中的一條規(guī)則為止，然后依據(jù)控制機制做出相應(yīng)的動作。如果都不滿足，則將數(shù)據(jù)包丟棄，從而保護(hù)網(wǎng)絡(luò)的安全。
Linux系統(tǒng)的防火墻功能是由內(nèi)核實現(xiàn)的。在2.4 版及以后的內(nèi)核中，包過濾機制是netfilter.CentOS 6管理工具是iptables，CentOS 7管理工具是firewalld ，firewalld 是Linux新一代的防火墻工具，它提供了支持網(wǎng)絡(luò)/防火墻區(qū)域 （zone） 定義網(wǎng)絡(luò)鏈接以及接口安全等級的動態(tài)防火墻管理。
Netfilter，位于Linux內(nèi)核中的包過濾防火墻功能體系，稱為Linux防火墻“內(nèi)核態(tài)”。firewall-cmd，位于/bin/firewall-cmd，是用來管理防火墻的命令工具，為防火墻體系提供過濾規(guī)則/策略，決定如何過濾或處理到達(dá)防火墻主機的數(shù)據(jù)包，稱為Linux防火墻的“用戶態(tài)”。習(xí)慣上，上述2種稱呼都可以代表Linux防火墻。

2.Linux防火墻框架

（1） netfilter框架
Linux內(nèi)核包含了一個強大的網(wǎng)絡(luò)子系統(tǒng)，名為netfilter，它可以為iptables內(nèi)核防火墻模塊提供有狀態(tài)或無狀態(tài)的包過濾服務(wù)，如NAT、IP偽裝等，也可以因高級路由或連接狀態(tài)管理的需要而修改IP頭信息。而firewalld可以動態(tài)管理防火墻，將netfilter的過濾功能集于一身，它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口，netfilter所處的位置如圖1所示：

雖然防火墻模塊構(gòu)建在Linux內(nèi)核，并且要對流經(jīng)IP層的數(shù)據(jù)包進(jìn)行處理，但它并沒有改變IP協(xié)議棧的代碼，而是通過netfilter模塊將防火墻的功能引入IP層，從而實現(xiàn)防火墻代碼和IP協(xié)議棧代碼的完全分離。netfilter模塊的結(jié)構(gòu)。如圖2所示：

數(shù)據(jù)包從左邊進(jìn)入IP協(xié)議棧，進(jìn)行IP校驗以后，數(shù)據(jù)包被PREROUTING處理，然后就進(jìn)入路由模塊，由其決定該數(shù)據(jù)包是轉(zhuǎn)發(fā)出去還是送給本機。若該數(shù)據(jù)包是送給本機的，則通過INPUT處理后傳遞給本機的上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)，則它將FORWARD處理，然后還要經(jīng)POSTROUTING處理后才能傳輸?shù)骄W(wǎng)絡(luò)。本機進(jìn)程產(chǎn)生的數(shù)據(jù)包要先經(jīng)過OUTPUT處理后，再進(jìn)行路由選擇處理，然后經(jīng)過POSTROUTING處理后再發(fā)送到網(wǎng)絡(luò)。
iptables服務(wù)在/etc/sysconfig/iptables中儲存配置，而firewalld將配置儲存在 /usr/lib/firewalld/和/etc/firewalld/中的各種XML文件里，使用iptables的時候每一個單獨更改意味著清除所有舊有的規(guī)則和從/etc/sysconfig/iptables里讀取所有新的規(guī)則，使用firewalld 卻不會再創(chuàng)建任何新的規(guī)則，僅僅運行規(guī)則中的不同。因此firewalld可以在運行時改變設(shè)置而不丟失現(xiàn)行配置。
Firewalld動態(tài)管理防火墻，不需要重啟整個防火墻便可應(yīng)用更改。因而也就沒有必要重載所有內(nèi)核防火墻模塊。不過，要使用firewalld就要求防火墻的所有變更都要通過firewalld守護(hù)進(jìn)程來實現(xiàn)，以確保守護(hù)進(jìn)程中的狀態(tài)和內(nèi)核里的防火墻是一致的。另外，firewalld無法解析由iptables和iptables命令行工具添加的防火墻規(guī)則。 Firewalld防火墻堆棧示意圖，如圖3所示。

2.Firewall防火墻管理

FirewallD 提供了支持網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義網(wǎng)絡(luò)鏈接以及接口安全等級的動態(tài)防火墻管理工具。firewalld通過將網(wǎng)絡(luò)劃分成不同的區(qū)域（通常情況下稱為 zones），制定出不同區(qū)域之間的訪問控制策略來控制不同區(qū)域間傳送的數(shù)據(jù)流。它支持 IPv4, IPv6 防火墻設(shè)置以及以太網(wǎng)橋接，并且擁有運行時配置和永久配置選項。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。 以前的 system-config-firewall/lokkit 防火墻模型是靜態(tài)的，每次修改都要求防火墻完全重啟。這個過程包括內(nèi)核 netfilter 防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會破壞狀態(tài)防火墻和確立的連接。
相反，firewall daemon 動態(tài)管理防火墻，不需要重啟防火墻便可應(yīng)用更改。因而也就沒有必要重載所有內(nèi)核防火墻模塊了。不過，要使用 firewall daemon 就要求防火墻的所有變更都要通過該守護(hù)進(jìn)程來實現(xiàn)，以確保守護(hù)進(jìn)程中的狀態(tài)和內(nèi)核里的防火墻是一致的。另外，firewall daemon 無法解析由 ip*tables 和 ebtables 命令行工具添加的防火墻規(guī)則。守護(hù)進(jìn)程通過 D-BUS 提供當(dāng)前激活的防火墻設(shè)置信息，也通過 D-BUS 接受使用 PolicyKit 認(rèn)證方式做的更改。應(yīng)用程序、守護(hù)進(jìn)程和用戶可以通過D-BUS請求啟用一個防火墻特性。特性可以是預(yù)定義的防火墻功能，如：服務(wù)、端口和協(xié)議的組合、端口/數(shù)據(jù)報轉(zhuǎn)發(fā)、偽裝、ICMP 攔截或自定義規(guī)則等。該功能可以啟用確定的一段時間也可以再次停用。

3.firewalld區(qū)域管理

網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級。這是一個一對多的關(guān)系，這意味著一次連接可以僅僅是一個區(qū)域的一部分，而一個區(qū)域可以用于很多連接。一個IP可以看作是一個區(qū)域、一個網(wǎng)段可以看作是一個區(qū)域，局域網(wǎng)、互聯(lián)網(wǎng)都可以看作是一個區(qū)域。例如：

• 預(yù)定義的服務(wù)：服務(wù)是端口和/或協(xié)議入口的組合。備選內(nèi)容包括 netfilter 助手模塊以及 IPv4、Pv6地址。
• 端口和協(xié)議：定義了 tcp 或 udp 端口，端口可以是一個端口或者端口范圍。
• ICMP阻塞：可以選擇 Internet 控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應(yīng)。
• 偽裝：私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。
• 端口轉(zhuǎn)發(fā)：端口可以映射到另一個端口以及/或者其它主機。
  現(xiàn)網(wǎng)應(yīng)用中，假設(shè)互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。為避免安全策略中禁止的一些通信，它在信任度不同的區(qū)域有各自基本的控制任務(wù)。
  典型的區(qū)域包括互聯(lián)網(wǎng)（一個沒有信任的區(qū)域）和一個內(nèi)部網(wǎng)絡(luò)（一個高信任的區(qū)域）。最終目標(biāo)是在不同信任力度的區(qū)域，通過安全政策的運行和連通性模型之間，根據(jù)最少特權(quán)原則提供連通性。例如：公共 WIFI 網(wǎng)絡(luò)連接應(yīng)該不信任，而家庭有線網(wǎng)絡(luò)連接就應(yīng)該完全信任。網(wǎng)絡(luò)安全模型可以在安裝、初次啟動和首次建立網(wǎng)絡(luò)連接時選擇初始化。該模型描述了主機所聯(lián)的整個網(wǎng)絡(luò)環(huán)境的可信級別，并定義了新連接的處理方式。在 /etc/firewalld/ 的區(qū)域設(shè)定中，定義了一系列可以被快速執(zhí)行到網(wǎng)絡(luò)接口的預(yù)設(shè)定。firewalld 提供的區(qū)域按照從不信任到信任的順序排序。有以下幾種不同的初始化區(qū)域：
• drop（丟棄）：任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接。
• block（限制）：任何接收的網(wǎng)絡(luò)連接，都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕。
• public（公共）：該區(qū)域是系統(tǒng)默認(rèn)區(qū)域，在公共區(qū)域內(nèi)使用，不能相信網(wǎng)絡(luò)內(nèi)的其它計算機不會對您的計算機造成危害，只能接收經(jīng)過選取的連接。
• external（外部）：特別是為路由器啟用了偽裝功能的外部網(wǎng)。您不能信任來自網(wǎng)絡(luò)的其它計算，不能相信它們不會對您的計算機造成危害，只能接收經(jīng)過選擇的連接。
• dmz（非軍事區(qū)）：用于您的非軍事區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開訪問，可以有限地進(jìn)入您的內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過選擇的連接。
• work（工作）：用于工作區(qū)。您可以基本相信網(wǎng)絡(luò)內(nèi)的其它電腦不會危害您的電腦。僅僅接收經(jīng)過選擇的連接。
• home（家庭）：用于家庭網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其它計算機不會危害您的計算機。僅僅接收經(jīng)過選擇的連接。
• internal（內(nèi)部）：用于內(nèi)部網(wǎng)絡(luò)。您可以基本上信任網(wǎng)絡(luò)內(nèi)的其它計算機不會威協(xié)您的計算機。僅僅接受經(jīng)過選擇的連接。
• trusted（信任）：可接受所有的網(wǎng)絡(luò)連接。

配置或者增加區(qū)域：可以使用任何一種 firewalld 配置工具來配置或者增加區(qū)域，以及修改配置。工具有例如 firewall-config 這樣的圖形界面工具， firewall-cmd 這樣的命令行工具，以及D-BUS接口。或者也可以在配置文件目錄中創(chuàng)建或者拷貝區(qū)域文件。 @PREFIX@/lib/firewalld/zones 被用于默認(rèn)和備用配置，/etc/firewalld/zones 被用于用戶創(chuàng)建和自定義配置文件。
修改區(qū)域：區(qū)域設(shè)置以 ZONE= 選項 存儲在網(wǎng)絡(luò)連接的ifcfg文件中。如果這個選項缺失或者為空，firewalld 將使用配置的默認(rèn)區(qū)域。如果這個連接受到 NetworkManager 控制，也可以使用 nm-connection-editor 來修改區(qū)域。
由NetworkManager控制的網(wǎng)絡(luò)連接：防火墻不能夠通過 NetworkManager 顯示的名稱來配置網(wǎng)絡(luò)連接，只能配置網(wǎng)絡(luò)接口。因此在網(wǎng)絡(luò)連接之前 NetworkManager 將配置文件所述連接對應(yīng)的網(wǎng)絡(luò)接口告訴 firewalld 。如果在配置文件中沒有配置區(qū)域，接口將配置到 firewalld 的默認(rèn)區(qū)域。如果網(wǎng)絡(luò)連接使用了不止一個接口，所有的接口都會應(yīng)用到 fiwewalld。接口名稱的改變也將由 NetworkManager 控制并應(yīng)用到firewalld。為了簡化，網(wǎng)絡(luò)連接將被用作與區(qū)域的關(guān)系。如果一個接口斷開了，NetworkManager也將告訴firewalld從區(qū)域中刪除該接口。當(dāng)firewalld由systemd或者init腳本啟動或者重啟后，firewalld將通知NetworkManager把網(wǎng)絡(luò)連接增加到區(qū)域。

4.Linux防火墻的基本配置與管理

CentOS 7中使用firewall-config圖形界面管理的防火墻策略。也可以使用firewall-cmd命令行工具進(jìn)行管理， firewall-cmd 支持全部防火墻特性，對于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒有其它輸出。另外還可以直接編輯/etc/firewalld/中的配置文件用來管理firewalld的策略。

• 使用firewalld可以通過圖形界面工具 firewall-config 或者命令行客戶端 firewall-cmd 啟用或者關(guān)閉防火墻特性。
• 使用firewall-cmd命令行工具 firewall-cmd 支持全部防火墻特性。對于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒有其它輸出。

4.1 firewall-cmd命令行工具

firewall-cmd支持防火墻的所有特性，管理員可以用它來改變系統(tǒng)或用戶策略，通過 firewall-cmd用戶可以配置防火墻允許通過的服務(wù)、端口、偽裝、端口轉(zhuǎn)發(fā)、和ICMP過濾器和調(diào)整 zone（區(qū)域）設(shè)置等功能。
firewall-cmd工具支持兩種策略管理方式，運行時和永久設(shè)置，需要分別設(shè)置兩者：

• 處理運行時區(qū)域，運行時模式下對區(qū)域進(jìn)行的修改不是永久有效的，但是即時生效，重新加載或者重啟系統(tǒng)后修改將失效。
• 處理永久區(qū)域，永久選項不直接影響運行時的狀態(tài)，這些選項僅在重載或者重啟系統(tǒng)時可用。
  防火墻啟動與關(guān)閉
• 啟動防火墻：systemctl start firewalld
• 查詢防火墻狀態(tài)：systemctl status firewalld
• 開機啟動防火墻：systemctl enable firewalld
• 停止防火墻：systemctl stop firewalld
• 開機關(guān)閉防火墻：systemctl disable firewalld

防火墻管理命令格式：
firewall-cmd [Options…]
firewall-cmd支持上百參數(shù)，下表為常用Options說明，如表所示：

firewall-cmd命令說明

–get-default-zone	查詢當(dāng)前默認(rèn)區(qū)域
–set-default-zone=	設(shè)置默認(rèn)區(qū)域，會更改運行時和永久配置
–get-zones	列出所有可用區(qū)域
–get-active-zones	列出正在使用的所有區(qū)域（具有關(guān)聯(lián)的接口或源）機器接口和源信息
–add-source= [–zone=]	將來自IP地址或網(wǎng)絡(luò)/子網(wǎng)掩碼的所有流量路由到指定區(qū)域。
–remove-source= [–zone=]	從指定區(qū)域中刪除用于路由來自IP地址或網(wǎng)絡(luò)/子網(wǎng)掩碼的所有流量的規(guī)則
–add-interface=[–zone=]	將來自的所有流量路由到指定區(qū)域
–change-interface=[–zone=]	將接口與而非其當(dāng)前區(qū)域關(guān)聯(lián)
–list-all [–zone=]	列出的所有已配置接口、源、服務(wù)和端口
–list-all-zones	檢索所有區(qū)域的所有信息（接口、源、端口、服務(wù)等）
–add-service=[–zone=]	允許到的流量
–add-port=<PORT/PROTOCOL>[–zone=]	允許到<PORT/PROTOCOL>端口的流量
–remove-service=[–zone=]	從區(qū)域允許列表中刪除
–remove-port=<PORT/PROTOCOL>[–zone=]	從區(qū)域允許列表中刪除<PORT/PROTOCOL>端口
–reload	丟棄運行時配置，并應(yīng)用持久配置

4.2 firewall-config圖形工具

firewall-config支持防火墻的所有特性，管理員可以用它來改變系統(tǒng)或用戶策略，通過 firewall-config 用戶可以配置防火墻允許通過的服務(wù)、端口、偽裝、端口轉(zhuǎn)發(fā)、和ICMP過濾器和調(diào)整 zone（區(qū)域）設(shè)置等功能以使防火墻設(shè)置更加的自由、安全和強健。
firewall-config工作界面。如圖4所示。

firewall-config工作界面分成三個部分：上面是主菜單，中間是配置選項卡，包括區(qū)域、服務(wù)設(shè)置選項卡，底部是狀態(tài)欄，狀態(tài)欄從左到右以此是連接狀態(tài)、默認(rèn)區(qū)域、鎖定狀態(tài)、應(yīng)急模式。
在左下方角落尋找“已連接”字符，這標(biāo)志著 firewall-config工具已經(jīng)連接到用戶區(qū)后臺程序 firewalld。

firewall-config 主菜單

firewall-config 主菜單包括四個選項：文件，選項，查看，幫助。其中選項子菜單是最主要的，它包括幾個部分：

• 重載防火墻：重載防火墻規(guī)則。例如所有現(xiàn)在運行的配置規(guī)則如果沒有在永久配置中操作，那么系統(tǒng)重載后會丟失。
• 更改連接區(qū)域：更改網(wǎng)絡(luò)連接的默認(rèn)區(qū)域。
• 改變默認(rèn)區(qū)域：更改網(wǎng)絡(luò)連接的所屬區(qū)域和接口。
• 應(yīng)急模式：應(yīng)急模式意味著丟棄所有的數(shù)據(jù)包。
• 鎖定：鎖定可以對防火墻配置進(jìn)行加鎖，只允許白名單上的應(yīng)用程序進(jìn)行改動。鎖定特性為 firewalld 增加了鎖定本地應(yīng)用或者服務(wù)配置的簡單配置方式。它是一種輕量級的應(yīng)用程序策略。

firewall-config配置選項卡

firewall-config 配置選項卡包括：運行時和永久。

• 運行時：運行時配置為當(dāng)前使用的配置規(guī)則。運行時配置并非永久有效，在重新加載時可以被恢復(fù)，而系統(tǒng)或者服務(wù)重啟、停止時，這些選項將會丟失。
• 永久：永久配置規(guī)則在系統(tǒng)或者服務(wù)重啟的時候使用。永久配置存儲在配置文件種，每次機器重啟或者服務(wù)重啟、重新加載時將自動恢復(fù)。

firewall-config區(qū)域選項卡

區(qū)域選項卡是一個主要設(shè)置界面，firewalld 提供了10種預(yù)定義的區(qū)域，區(qū)域配置選項和通用配置信息可以在 firewall.zone（5） 的手冊里查到，
區(qū)域選項卡有八個子選項卡，分別是服務(wù)、端口、偽裝、端口轉(zhuǎn)發(fā)、ICMP過濾器、富規(guī)則、接口、來源，如圖3-1-5所示。

• 服務(wù)：定義區(qū)域中哪些服務(wù)是可信的。
• 端口：定義區(qū)域中允許訪問的主機或網(wǎng)絡(luò)訪問的附加端口或端口范圍。
• 偽裝：NAT偽裝，是否啟用IP轉(zhuǎn)發(fā)，是地址轉(zhuǎn)發(fā)的一種，僅支持IPv4。
• 端口轉(zhuǎn)發(fā)：NAT轉(zhuǎn)發(fā)，將指向單個端口的流量將轉(zhuǎn)發(fā)到相同計算機上的不同端口，或者轉(zhuǎn)發(fā)到不同計算機上的端口
• ICMP過濾器：設(shè)置可通過的ICMP數(shù)據(jù)包類型。
• 富規(guī)則：是一種表達(dá)性語言，可表達(dá)firewalld基本語法中未涵蓋的自定義防火墻規(guī)則，可用于表達(dá)基本的允許/拒絕規(guī)則，可用于配置記錄（面向syslog和auditd）及端口轉(zhuǎn)發(fā)、偽裝和速率限制
• 接口：增加入口到區(qū)域。
• 來源：綁定來源地址或范圍。
  

（4）firewall-config 服務(wù)選項卡
預(yù)定義了幾十種重要服務(wù)，可通過命令firewall-cmd --get-services查詢，服務(wù)是端口、協(xié)議、模塊和目標(biāo)地址的集合，該選項卡配置只能在永久配置視圖中修改服務(wù)，不能在運行時配置中修改。
服務(wù)選項卡底下包含端口和協(xié)議、模塊、目標(biāo)地址三種子選項卡，如圖所示。。

• 端口和協(xié)議：定義需要被所有主機或網(wǎng)絡(luò)訪問的額外端口或端口區(qū)間。
• 模塊：添加網(wǎng)絡(luò)過濾輔助模塊。
• 目標(biāo)地址：如果指定了目的地址，服務(wù)項目將僅限于目的地址和類型。
  

5 當(dāng)前的firewalld特性

• D-BUS接口：D-BUS 接口提供防火墻狀態(tài)的信息，使防火墻的啟用.停用或查詢設(shè)置成為可能。
• 區(qū)域：網(wǎng)絡(luò)或者防火墻區(qū)域定義了連接的可信程度。firewalld 提供了幾種預(yù)定義的區(qū)域。區(qū)域配置選項和通用配置信息可以在firewall.zone（5）的手冊里查到。
• 服務(wù)：服務(wù)可以是一系列本讀端口.目的以及附加信息，也可以是服務(wù)啟動時自動增加的防火墻助手模塊。預(yù)定義服務(wù)的使用使啟用和禁用對服務(wù)的訪問變得更加簡單。服務(wù)配置選項和通用文件信息在 firewalld.service（5） 手冊里有描述。
• ICMP類型：Internet控制報文協(xié)議 （ICMP） 被用以交換報文和互聯(lián)網(wǎng)協(xié)議 （IP） 的錯誤報文。在 firewalld 中可以使用 ICMP 類型來限制報文交換。 ICMP 類型配置選項和通用文件信息可以參閱 firewalld.icmptype（5） 手冊。
• 直接接口：直接接口主要用于服務(wù)或者應(yīng)用程序增加特定的防火墻規(guī)則。這些規(guī)則并非永久有效，并且在收到 firewalld 通過 D-Bus 傳遞的啟動.重啟.重載信號后需要重新應(yīng)用。
• 運行時配置：運行時配置并非永久有效，在重新加載時可以被恢復(fù)，而系統(tǒng)或者服務(wù)重啟.停止時，這些選項將會丟失。
• 永久配置：永久配置存儲在配置文件種，每次機器重啟或者服務(wù)重啟.重新加載時將自動恢復(fù)。
• 托盤小程序：托盤小程序 firewall-applet 為用戶顯示防火墻狀態(tài)和存在的問題。它也可以用來配置用戶允許修改的設(shè)置。
• 圖形化配置工具：firewall daemon 主要的配置工具是 firewall-config 。它支持防火墻的所有特性（除了由服務(wù)/應(yīng)用程序增加規(guī)則使用的直接接口）。 管理員也可以用它來改變系統(tǒng)或用戶策略。
• 命令行客戶端：firewall-cmd是命令行下提供大部分圖形工具配置特性的工具。
• 對于ebtables的支持：要滿足libvirt daemon的全部需求，在內(nèi)核 netfilter 級上防止 ip*tables 和 ebtables 間訪問問題，ebtables 支持是需要的。由于這些命令是訪問相同結(jié)構(gòu)的，因而不能同時使用。
• /usr/lib/firewalld中的默認(rèn)/備用配置：該目錄包含了由 firewalld 提供的默認(rèn)以及備用的 ICMP 類型.服務(wù).區(qū)域配置。由 firewalld 軟件包提供的這些文件不能被修改，即使修改也會隨著 firewalld 軟件包的更新被重置。 其它的 ICMP 類型.服務(wù).區(qū)域配置可以通過軟件包或者創(chuàng)建文件的方式提供。
• /etc/firewalld中的系統(tǒng)配置設(shè)置：存儲在此的系統(tǒng)或者用戶配置文件可以是系統(tǒng)管理員通過配置接口定制的，也可以是手動定制的。這些文件將重載默認(rèn)配置文件。為了手動修改預(yù)定義的 icmp 類型，區(qū)域或者服務(wù)，從默認(rèn)配置目錄將配置拷貝到相應(yīng)的系統(tǒng)配置目錄，然后根據(jù)需求進(jìn)行修改。如果加載了有默認(rèn)和備用配置的區(qū)域，在 /etc/firewalld下的對應(yīng)文件將被重命名為 .old 然后啟用備用配置。

6.用戶策略支持

管理員可以規(guī)定哪些用戶可以使用用戶交互模式和限制防火墻可用特性。
端口元數(shù)據(jù)信息（由 Lennart Poettering 提議），擁有一個端口獨立的元數(shù)據(jù)信息是很好的。應(yīng)用程序或服務(wù)的端口是動態(tài)的，因而端口本身并不能描述使用情況，所以對 /etc/services 的端口和協(xié)議靜態(tài)分配模型不是個好的解決方案，也沒有反映當(dāng)前使用情況。。
元數(shù)據(jù)信息可以用來為防火墻制定簡單的規(guī)則。下面是一些例子：

• 允許外部訪問文件共享應(yīng)用程序或服務(wù)；
• 允許外部訪問音樂共享應(yīng)用程序或服務(wù)；
• 允許外部訪問全部共享應(yīng)用程序或服務(wù)；
• 允許外部訪問 torrent 文件共享應(yīng)用程序或服務(wù)；
• 允許外部訪問 http 網(wǎng)絡(luò)服務(wù)。

這里的元數(shù)據(jù)信息不只有特定應(yīng)用程序，還可以是一組使用情況。例如：組“全部共享”或者組“文件共享”可以對應(yīng)于全部共享或文件共享程序（如：torrent 文件共享）。這些只是例子，因而，可能并沒有實際用處。
這里是在防火墻中獲取元數(shù)據(jù)信息的兩種可能途徑：

• 第一種是添加到 netfilter （內(nèi)核空間）。好處是每個人都可以使用它，但也有一定使用限制。還要考慮用戶或系統(tǒng)空間的具體信息，所有這些都需要在內(nèi)核層面實現(xiàn)。
• 第二種是添加到 firewall daemon 中。這些抽象的規(guī)則可以和具體信息（如：網(wǎng)絡(luò)連接可信級。作為具體個人/主機要分享的用戶描述.管理員禁止完全共享的應(yīng)歸則等）一起使用。

第二種解決方案的好處是不需要為有新的元數(shù)據(jù)組和納入改變（可信級.用戶偏好或管理員規(guī)則等等）重新編譯內(nèi)核。這些抽象規(guī)則的添加使得 firewall daemon 更加自由。即使是新的安全級也不需要更新內(nèi)核即可輕松添加。

7.sysctld的錯誤設(shè)置

實際應(yīng)用中對sysctl 設(shè)置經(jīng)常出現(xiàn)錯誤。
一個例子是，在 rc.sysinit 正運行時，而提供設(shè)置的模塊在啟動時沒有裝載或者重新裝載該模塊時會發(fā)生問題。
另一個例子是 net.ipv4.ip_forward ，防火墻設(shè)置.libvirt 和用戶/管理員更改都需要它。如果有兩個應(yīng)用程序或守護(hù)進(jìn)程只在需要時開啟 ip_forwarding ，之后可能其中一個在不知道的情況下關(guān)掉服務(wù)，而另一個正需要它，此時就不得不重啟它。
sysctl daemon 可以通過對設(shè)置使用內(nèi)部計數(shù)來解決上面的問題。此時，當(dāng)請求者不再需要時，它就會再次回到之前的設(shè)置狀態(tài)或者是直接關(guān)閉它。

8.iptables 的與firewalld區(qū)別

firewalld 和 iptables service 之間最本質(zhì)區(qū)別是：

• iptables service 在 /etc/sysconfig/iptables 中儲存配置，而 firewalld 將配置儲存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種 XML 文件里，。要注意，當(dāng) firewalld 在Linux上安裝失敗時， /etc/sysconfig/iptables 文件就不存在。
• 使用 iptables service，每一個單獨更改意味著清除所有舊有的規(guī)則和從 /etc/sysconfig/iptables里讀取所有新的規(guī)則，然而使用 firewalld 卻不會再創(chuàng)建任何新的規(guī)則；僅僅運行規(guī)則中的不同之處。因此，firewalld 可以在運行時間內(nèi)，改變設(shè)置而不丟失現(xiàn)行連接。

9.常用命令

firewalld的基本使用

啟動： systemctl start firewalld
關(guān)閉： systemctl stop firewalld
查看狀態(tài)： systemctl status firewalld
開機禁用 ： systemctl disable firewalld
開機啟用 ： systemctl enable firewalld

(2) systemctl是CentOS7的服務(wù)管理工具中主要的工具，它融合之前service和chkconfig的功能于一體。

啟動一個服務(wù)：systemctl start firewalld.service
關(guān)閉一個服務(wù)：systemctl stop firewalld.service
重啟一個服務(wù)：systemctl restart firewalld.service
顯示一個服務(wù)的狀態(tài)：systemctl status firewalld.service
在開機時啟用一個服務(wù)：systemctl enable firewalld.service
在開機時禁用一個服務(wù)：systemctl disable firewalld.service
查看服務(wù)是否開機啟動：systemctl is-enabled firewalld.service
查看已啟動的服務(wù)列表：systemctl list-unit-files|grep enabled
查看啟動失敗的服務(wù)列表：systemctl --failed

(3) 配置firewalld-cmd

#《實例一》防火墻查詢 firewall-cmd --version //查看版本 firewall-cmd --help // 查看幫助 firewall-cmd --state // 顯示狀態(tài) firewall-cmd --get-services //獲取支持服務(wù)列表（firewalld內(nèi)置服務(wù)支持） firewall-cmd --zone=public --list-ports //查看所有打開的端口 firewall-cmd --list-forward-ports //查看轉(zhuǎn)發(fā)的端口 fierewall-cmd –reload //重新加載防火墻策略 firewall-cmd --get-active-zones //查看區(qū)域信息 firewall-cmd --list-all-zones //列出全部啟用的區(qū)域的特性 firewall-cmd --list-services //顯示防火墻當(dāng)前服務(wù) firewall-cmd --get-zone-of-interface=eth0 //查看指定接口所屬區(qū)域 firewall-cmd --panic-on //拒絕所有包 firewall-cmd --panic-offfir //取消拒絕狀態(tài) firewall-cmd --query-panic //查看是否拒絕 *# 《實例二》 運行時區(qū)域策略設(shè)置示例（注：以下示例不加zone的為默認(rèn)區(qū)域public） firewall-cmd --add-service=ssh //允許 ssh 服務(wù)通過 firewall-cmd --remove-service=ssh //禁止 ssh 服務(wù)通過 firewall-cmd --add-service=samba --timeout=600 //臨時允許 samba 服務(wù)通過 600 秒 firewall-cmd --add-service=http --zone=work //允許http服務(wù)通過work區(qū)域 firewall-cmd --zone=work --add-service=http //從work區(qū)域打開http服務(wù) firewall-cmd --zone=internal --add-port=443/tcp //打開 443/tcp 端口在內(nèi)部區(qū)域（internal） firewall-cmd --zone=internal --remove-port=443/tcp //關(guān)閉443/tcp 端口在內(nèi)部區(qū)域（internal） firewall-cmd --add-interface=eth0 //打開網(wǎng)卡eth0 firewall-cmd --remove-interface=eth0 //關(guān)閉網(wǎng)卡eth0#《 實例三》 永久區(qū)域策略設(shè)置示例（注：以下示例不加zone的為默認(rèn)區(qū)域public；永久設(shè)置均需重新加載防火墻策略或重啟系統(tǒng)） firewall-cmd --permanent --add-service=ftp //永久允許 ftp 服務(wù)通過 firewall-cmd --permanent --remove-service=ftp //永久禁止 ftp 服務(wù)通過 firewall-cmd --permanent --add-service=http --zone=external //永久允許http服務(wù)通過external區(qū)域 firewall-cmd --permanent --add-service=http --zone=external //永久允許http服務(wù)通過external區(qū)域 firewall-cmd --permanent --zone=internal --add-port=111/tcp //打開 111/tcp 端口在內(nèi)部區(qū)域（internal） firewall-cmd --permanent --zone=internal --remove-port=111/tcp //關(guān)閉 111/tcp 端口在內(nèi)部區(qū)域（internal） firewall-cmd --permanent --add-interface=eth0 //永久打開網(wǎng)卡eth0 firewall-cmd --permanent --remove-interface=eth0 //永久關(guān)閉網(wǎng)卡eth0 firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp //添加多個端口 firewall-cmd --permanent --zone=public --remove-port=81/tcp //刪除某個端口 firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.51" accept" //刪除某個IP firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept" // firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept" //針對某個ip段訪問 firewall-cmd --reload //添加操作后別忘了執(zhí)行重載才會生效

---

歡迎各位關(guān)注微信公號“運維開發(fā)故事”

總結(jié)

以上是生活随笔為你收集整理的Linux防火墙firewalld安全设置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。