详述CentOS 7中Firewalld防火墙基础

Firewalld概述

Firewalld简介

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

  • 支持IPv4、IPv6防火 墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式

    运行时配置

    永久配置

Firewalld和iptables的关系

netfilter

  • netfilterLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统
  • netfilter采用模块化设计,具有良好的可扩充性
  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

Firewalld/iptables

  • CentOS7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态”

Firewalld和iptables的区别

- Firewalld iptables
配置文件 /usr/lib/firewalld<br/>/etc/firewalld/ /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
静态防火墙 动态防火墙(灵活) 静态防火墙

Firewalld网络区域

区域介绍

区域 描述
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制) 任何接收的网络连接都被lPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public(公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
external(外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接
work(工作) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home(家庭) 用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal(内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted(信任) 可接受所有的网络连接

Firewalld数据处理流程

  • 检查数据来源的源地址

    • 若源地址关联到特定的区域,则执行该区域所指定的规则
    • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
    • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

Firewall-config图形工具

  • 运行时配置/永久配置

  • 重新加载防火墙

    • 更改永久配置并生效

  • 关联网卡到指定区域

  • 修改默认区域

  • 连接状态

  • “区域”选项卡

    • “服务”子选项卡
    • “端口”子选项卡
    • “协议”子选项卡
    • “源端口”子选项卡,
    • “伪装”子选项卡
    • “端口转发”子选项卡
    • "ICMP过滤器”子选项卡
  • "服务”选项卡
    • “模块”子选项卡
    • “目标地址”子选项卡

Firewall-cmd命令行工具

  • 启动、停止、查看 firewalld 服务

    systemctl start firewalld      //启动 firewalld
systemctl enable firewalld     //设置 firewalld 为开机自启动
systemctl status firewalld     //查看 firewalld 状态信息
firewall-cmd --state           //查看 firewalld 状态信息
systemctl stop firewalld       //停止 firewalld
systemctl disable firewalld    //设置 firewalld 开机不自启动
  • 获取预定义信息
    • firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型
    firewall-cmd --get-zones      //显示预定义的区域
firewall-cmd --get-service    //显示预定义的服务
firewall-cmd --get-icmptypes  //显示预定义的 ICMP 类型
    • firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义

    destination-unreachable:目的地址不可达。

    echo-reply:应答回应(pong)。

    parameter-problem:参数问题。

    redirect:重新定向。

    router-advertisement:路由器通告。

    router-solicitation:路由器征寻。

    source-quench:源端抑制。

    time-exceeded:超时。

    timestamp-reply:时间戳应答回应。

    timestamp-request:时间戳请求。

  • 区域管理
    • 使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
选项 说明
--get -default -zone 显示网络连接或接口的默认区域
--set -default -zone=&lt;zone&gt; 设置网络连接或接口的默认区域
--get -active -zones 显示已激活的所有区域
--get- zone -of -interface=&lt;interface&gt; 显示指定接口绑定的区域
--zone=&lt;zone&gt; --add-interface=&lt;interface&gt; 为指定接口绑定区域
--zone=&lt;zone&gt; --change-interface=&lt;interface&gt; 为指定的区域更改绑定的网络接口
--zone=&lt;zone&gt; --remove-interface=&lt;interface&gt; 为指定的区域删除绑定的网络接口
--list-all-zones 显示所有区域及其规则
[--zone=&lt;zone&gt;] --list-a 显示所有指定区域的所有规则,省略--zone=&lt;zone&gt;时表示仅
  • 服务管理

    • firewalld预先定义了 很 多 服 务 ,存放在/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定,这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service配置文件放置在 /etc/firewalld/services/ 目录中。service 配置优点:通过服务名字来管理规则更加人性化、通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服 务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
    • firewall-cmd 命令区域中服务管理的常用选项说明:
选项 说明
[--zone=&lt;zone&gt;] --list-services 显示指定区域内允许访问的所有服务
[--zone=&lt;zone&gt;] --add-service=&lt;service&gt; 为指定区域设置允许访问的某项服务
[--zone=&lt;zone&gt;] --remove-service=&lt;service&gt; 删除指定区域已设置的允许访问的某项服务
[--zone=&lt;zone&gt;] --list-ports 显示指定区域内允许访问的所有端口号
[--zone=&lt;zone&gt;] --add-port=&lt;portid&gt;[-&lt;portid&gt;]/&lt;protocol&gt; 为指定区域设置允许访问的某个/某段端口号 (包括协议名)
[--zone=&lt;zone&gt;] --remove-port=&lt;portid&gt;[-&lt;portid&gt;]/&lt;protocol&gt; 删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=&lt;zone&gt;] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=&lt;zone&gt;] --add-icmp-block=&lt;icmptype&gt; 为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=&lt;zone&gt;] --remove-icmp-block=&lt;icmptype&gt; 删除指定区域已设置的拒绝访问的某项 ICMP 类 型,省略--zone=&lt;zone&gt;时表示对默认区域操作
  • 端口管理

    • 在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自 动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。
    firewall-cmd --zone=internal --add-port=443/tcp      //再internal区域打开443端口
firewall-cmd --zone=internal --remove-port=443/tcp   //再internal区域禁用443端口
  • 两种配置模式
    • firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示 当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效、永久模 式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置 文件中的。
    • firewall-cmd 命令工具与配置模式相关的选项有三个:
选项 说明
--reload 重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置
--permanent 带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则
--runtime-to-permanent 将当前的运行时配置写入规则配置文件中,使之成为永久性

/etc/firewalld/中的配置文件

  • Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
  • /etc/firewalld/:用户自定义配置文件,需要时可以通过从/usr/lib/firewalld/中拷贝
  • /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

原文地址:https://blog.51cto.com/14473285/2442152

时间: 2024-10-12 10:25:19

详述CentOS 7中Firewalld防火墙基础的相关文章

详述CentOS 7中构建分离解析域名服务器

DNS分离解析介绍 ? 分离解析的域名服务器,实际上也还是主域名服务器,这里所说的分离解析,主要是指根据不同的客户端,提供不同的域名解析记录.来自不同地址的客户机请求解析同一域名时,为其提供不同的解析结果. 搭建DNS分离解析服务器 实验环境 使用VMware 15软件分别打开一台win 10虚拟机,一台win 7虚拟机和一台CentOS 7虚拟机 使用VMware 15 下载链接 许可证密匙:UY758-0RXEQ-M81WP-8ZM7Z-Y3HDA win 10 镜像 下载链接 win 7

centos 7的firewalld防火墙配置IP伪装和端口转发(内附配置案例)

IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址.当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由.地址伪装可以实现局域网多个地址共享单一公网地址上网.类似于NAT技术中的端口多路复用(PAT).IP地址伪装仅支持ipv4,不支持ipv6. 端口转发:也可以称之为目的地址转换或端口映射.通过端口转发,将指定IP地址及端

firewalld防火墙基础配置

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙. Linux防火墙是如何检查数据流量的? 对于进入系统的数据包,首先检查的就是其源地址: 若源地址关联到特定的区域,则执行该区域所制定的规则:若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则.若网络接口未关联到特定的区域,那么就使用默认区域并执行该区域所制定的规则.默认区域并不是单独的区域,而是指向系统上定义的某个其他区域.默认情况下,默认区域是public,但是也可

firewalld防火墙基础

TIP:linux7.0比6.0多了个firewalld工具,大大简化了操作 7.0既可以用iptables和firewalld,firewalld效率更高.更简便 一.firewalld概述 1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 2.支持IPv4.IPv6防火墙 3.支持服务或应用程序直接添加防火墙规则接口 4.拥有两种配置模式 (1)运行时配置 (2)永久配置 二.firewalld和iptables的关系 1.netfilter (1)位于Linux内核中的

Firewalld防火墙基础详解

Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,支持IPv4.IPv6防火 墙设置以及以太网桥,支持服务或应用程序直接添加防火墙规则接口. 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalld和iptables的关系 netfilter: 位于Linux内核中的包过滤功能体系称为Linux防火墙的"内核态" Firewalld/iptables: CentOS7默认的管理防火墙规则的工具(Firewalld)称为Linux防火墙的

详述CentOS 7中GRUB菜单恢复与忘记root密码后如何重置

GRUB菜单介绍 对于Linux操作系统来说,GRUB(GRand Unified Bootloader,统一启动加载器)是使用最为广泛的多系统引导器程序.系统控制权传递给 GRUB 以后,将会显示启动菜单给用户选择,并根据所选项(或采用默认值)加载 Linux内核文件,然后将系统控制权转交给内核.需要注意的是,CentOS 7采用的是GRUB2启动引导器. GRUB菜单恢复方法 GRUB是大多数Linux操作系统默认使用的引导程序,可以通过启动菜单的方式选择进入不同的操作系统(如果有).当配置

详述CentOS 7中Apache配置与应用(一)

Apache连接保持 Apache连接保持相关参数 KeepAlive 是否打开连接保持,OFF关闭,ON打开 KeepAlive' Timeout 一次连接多次请求之间的最大间隔时间,两次请求超过该时间连接断开 MaxKeepAliveRequests 一次连接能够 传输的最大请求数量 Apache访问控制 作用 控制对网站资源的访问 为特定的网站目录添加访问授权 常用访问控制方式 客户机地址限制 用户授权限制 基于客户端地址的访问控制 使用Require配置项实现访问控制,按先后顺序限制 可

Linux系统安全之CentOS 7 firewalld防火墙入门详解

在Internet中,企业通过架设各种应用系统来为用户提供各种网络服务,比如Web网站.电子邮件.FTP服务器等.而且大部分都是使用Linux服务器进行搭建的.那么,想要保护这些服务器,过滤非授权的访问,甚至恶意进入内部网络 .就需要使用到--防火墙. 防火墙除了硬件防火墙之外,Linux系统的防火墙也十分强大,今天主要认识CentOS 7系统的防火墙--firewalld. 一.Linux防火墙基础 不管是Linux系统.Windows系统的防火墙或者是硬件防火墙都是设置不同网络与网络安全之间

Centos 7防火墙基础——理论篇

Centos 7防火墙基础--理论篇 理论结构: Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewalld概述 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4.IPV6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种不同的配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter ? 位于Linux内核的过滤的