目录
- 一、firewalld概述
- 二、firewalld和iptables的关系
- 1、firewalld和iptables的区别
- 三、firewalld网络区域
- 1、区域介绍:
- 2、firewalld数据处理流程
- 四、防火墙配置方法
- 1、firewall-config图形工具
- 2、firewall-cmd命令行工具
- 五、防火墙案例
- 案例:
一、firewalld概述
- 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙工具
- 支持IPv4,IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式:
运行时配置
永久配置
二、firewalld和iptables的关系
- netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态” - firewalld/iptables
CentOS7默认的管理防火墙规则的工具
称为Linux防火墙的“用户态”
1、firewalld和iptables的区别
| firewalld | iptables | |
|---|---|---|
| 配置文件 | /usr/lib/friwalld /etc/firewalld | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 刷新现有的策略,丢失连接 |
| 防火墙类型 | 动态防火墙 | 静态防火墙 |
三、firewalld网络区域
1、区域介绍:
- 区域是进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联原地址或接口
- 默认情况下,public区域是默认区域,包含所有接口网卡
2、firewalld数据处理流程
- 检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
四、防火墙配置方法
- 运行时配置:
实时生效,并持续至firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置 - 永久配置
不立即生效,除非firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置
1、firewall-config图形工具
firewall-config 图形化界面
block 阻塞区域
dmz 非军事化区域
drop 丢失区域
external 外部区域
home 家
internal 内部区域
public 公共区域
trusted 信任区域
work 工作区域
2、firewall-cmd命令行工具
- firewall-cmd 命令:
1)启动、停止、查看 firewalld 服务
systemctl start firewalld //启动 firewalld
systemctl enable firewalld //设置 firewalld 为开机自启动
systemctl status firewalld 或 firewall-cmd --state //可以查看其运行状态。
systemctl stop firewalld //停止 firewalld
systemctl disable firewalld //设置 firewalld 开机不自启动2)获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻
塞类型
firewall-cmd --get-zones //显示预定义的区域
firewall-cmd --get-service //显示预定义的服务
firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。 destination-unreachable:目的地址不可达。 echo-reply:应答回应(pong)。 parameter-problem:参数问题。 redirect:重新定向。 router-advertisement:路由器通告。 router-solicitation:路由器征寻。 source-quench:源端抑制。 time-exceeded:超时。 timestamp-reply:时间戳应答回应。 timestamp-request:时间戳请求。3)区域管理
实现获取和管理区域,为指定区域绑定网络接口等功能
选项 说明
--get-default-zone 显示网络连接或接口的默认区域
--set-default-zone=<zone> 设置网络连接或接口的默认区域
--get-active-zones 显示已激活的所有区域
--get-zone-of-interface=<interface> 显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> 为指定接口绑定区域
--zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口
--list-all-zones 显示所有区域及其规则
[--zone=<zone>] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅 对默认区域操作
示例:
(1)显示当前系统中的默认区域。
[root@localhost ~]# firewall-cmd --get-default-zone
(2)显示默认区域的所有规则。
[root@localhost ~]# firewall-cmd --list-all
(3)显示网络接口 ens33 对应区域。
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
(4)将网络接口 ens33 对应区域更改为 internal 区域。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
(5)显示所有激活区域。
[root@localhost ~]# firewall-cmd --get-active-zones4)服务管理
选项 说明
[--zone=<zone>] --list-services 显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> 为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports 显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> 为指定区域设置允许访问的某个/某段端口号
(包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> 删除指定区域已设置的允许访问的端口号(包括
协议名)
[--zone=<zone>] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类
型,省略--zone=<zone>时表示对默认区域操作
示例:
(1)为默认区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --list-services
//显示默认区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --add-service=http
//设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https
//设置默认区域允许访问 https 服务
(2)为 internal 区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
//设置 internal 区域允许访问 mysql 服务
success
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client
//设置 internal 区域不允许访问 samba-client 服务 5)端口管理
在 internal 区域打开 443/TCP 端口。
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp
success 6)两种配置模式
firewall-cmd 命令工具与配置模式相关的选项有三个。
? --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
? --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时
规则。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性
五、防火墙案例
案例:
- 需求描述:
禁止主机ping服务器
只允许192.168.195.20主机访问ssh服务
允许所有主机访问apache服务 - 将以上需求分为两个区域执行:
work区域:根据需求:禁止ping(禁止icmp协议),允许195.10地址登录ssh服务,允许访问apache服务
public区域:禁止icmp,允许Apache服务,禁止所有主机访问ssh服务 - 实验步骤:
- 进入public区域设置
[root@localhost yum.repos.d]# systemctl start httpd ##启动Apache服务
可以访问apache服务
