TIP:
linux7.0比6.0多了个firewalld工具,大大简化了操作
7.0既可以用iptables和firewalld,firewalld效率更高、更简便
一、firewalld概述
1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
2、支持IPv4、IPv6防火墙
3、支持服务或应用程序直接添加防火墙规则接口
4、拥有两种配置模式
(1)运行时配置
(2)永久配置
二、firewalld和iptables的关系
1、netfilter
(1)位于Linux内核中的包过滤功能体系
(2)称为Linux防火墙的“内核态”
2、firewalld(图形化)/iptables(字符界面)
(1)CentOS7默认的管理防火墙规则的工具(Firewalld)
(2)称为Linux防火墙的“用户态”。如下图中的iptables(command)
firewalld与iptables区别
firewalld网络区域
区域介绍
伪装功能:NAT地址转换,将ip地址转换成外网能识别的ip地址,存放在地址存放表中。一个私网转换成一个公网地址
PAT地址转换:多个私网转换成一个公网地址,端口对端口。安全,节约缓解了ip地址的使用资源。如下所示:
公共区域就是默认区域,数据先经过公共区域,若被拒绝,则不会经过其它区域。
iptables : SNAT(源地址转换) DNAT(目标地址转换)
dmz(里面放的邮箱等无关紧要的东西)可以让安全级别低的客户访问,及被袭击
firewalld防火墙的配置方法
一般而言,都是配置永久配置(建议错开业务高峰期配置)
firewall-config图形工具
firewall-cmd命令行工具
/etc/firewalld/中的配置文件
(1)firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则通过从/usr/lib/firewalld/中拷贝
(2)/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
(3)/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/lib/firewalld/中的配置
1.运行时配置/永久配置
配置永久防火墙务必选择将runtime设定为永久配置
2.重新加载防火墙
3.关联网卡到指定区域
4.修改默认区域
5.连接状态
6.“区域”选项卡:
服务、端口、协议、源端口、伪装、端口转发、ICMO过滤器
7.“服务”选项卡:
模块、目标地址
原文地址:https://blog.51cto.com/14475593/2441558