Firewalld防火墙(CentOS 7)

Firewalld简介

1.支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具。
2.支持IPv4、IPv6防火墙设置以及以太网桥接
3.支持服务或应运程序直接添加防火墙规则口
4.拥有两种配置模式
运行时配置
永久配置



Firewalld与iptables的关系


netfilter

1.位于linux内核中的包过滤功能体系
2.称为Linux防火墙的“内核态”


Firewalld/iptables

1.Centos7默认的管理防火墙规则的工具(Firewalld)
2.称为linux防火墙的“用户态”
3.Firewalld是iptables的升级
4.iptables(command)为用户态
5.kernel(netfilter)为内核态


Firewalld与iptables的区别

Firewalld iptables
配置文件 /usr/lib/firewalld/ /etc/firewalld/ /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙


Firewalld网络区域

区域介绍

1.区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
2.可以使用一个人或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
3.默认情况下,public区域是默认区域,包含所有接口(网卡)


区域 描述
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制) 任何接收的网络连接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public(公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
external(外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入您的内部网络,仅仅接收经过选择的连接
work(工作) 用于工作区域。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home(家庭) 用于家庭网络。您可以基本相信网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal(内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted(信任) 可接受所有的网络连接

Firewalld数据处理流程

检查数据来源的源地址
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则



Firewalld防火墙的配置方法

运行时配置

1.实时生效,并持续至Firewalld重新启动或重新加载配置
2.不中断现有连接
3.不能修改服务配置

永久配置

1.不立即生效,除非Firewalld重新启动或重新加载配置
2.终端现有连接
3.可以修改服务配置

/etc/firewalld/中的配置文件

1.Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件时可通过从/usr/lib/firewalld/中拷贝

2./usrlib/firwalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置


Firewalld-config图形工具

[[email protected] ~]# firewall-config          //打开图形工具




运行时配置/永久配置

重新加载防火墙
更该永久配置
关联网卡到指定区域
修改默认区域
连接状态



区域选项卡内容
1.“服务” 子选项卡
2.“端口”子选项卡
3.“协议”子选项卡
4.“源端口”子选项卡
5.“伪装”子选项卡
6.“端口转发”子选项卡
7.“ICMP过滤器”子选项卡



服务选项卡
1.“模块”子选项卡
2.“目标地址”子选项卡



Firewalld命令行工具

Firewalld-cmd命令

1.启动、停止、查看 firewalld 服务

systemctl start firewalld         //启动 firewalld
systemctl enable firewalld         //设置 firewalld 为开机自启动
systemctl status firewalld        //查看firewalld状态
firewall-cmd --state             //查看firewalld状态
systemctl stop firewalld           //停止 firewalld服务
systemctl disable firewalld           //设置 firewalld 开机不自启动

2.获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞
firewall-cmd --get-zones           //显示预定义的区域
firewall-cmd --get-service         //显示预定义的服务
firewall-cmd --get-icmptypes         //显示预定义的 ICMP 类型

各种阻塞类型的含义

destination-unreachable:目的地址不可达
echo-reply:应答回应(pong)
parameter-problem:参数问题
redirect:重新定向
router-advertisement:路由器通告
router-solicitation:路由器征寻
source-quench:源端抑制
time-exceeded:超时
timestamp-reply:时间戳应答回应
timestamp-request:时间戳请求 

3.区域管理

使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能

区域管理选项

- -get-default-zone       //显示网络连接或接口的默认区域
- -set-default-zone=<zone>       //设置网络连接或接口的默认区域
- -get-active-zones       //显示已激活的所有区域
- -get-zone-of-interface=<interface>       //显示指定接口绑定的区域
- -zone=<zone> - -add-interface=<interface>       //为指定接口绑定区域
- -zone=<zone> - -change-interface=<interface>        //为指定的区域更改绑定的网络接口
- -zone=<zone> - -remove-interface=<interface>       //为指定的区域删除绑定的网络接口
- -list-all-zones       //显示所有区域及其规则
[- -zone=<zone>] - -list-all       //显示所有指定区域的所有规则,省略- -zone=<zone>时表示表示对默认区域操作 

4.服务管理

firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在 /usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,ssh 务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了 ,对于每个网络区域许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中。ervice 配置具有以下优点: 通过服务名字来管理规则更加人性化; 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

服务管理选项

[- -zone=<zone>] - -list-services         //显示指定区域内允许访问的所有服务
[- -zone=<zone>] - -add-service=<service>         //为指定区域设置允许访问的某项服务
[- -zone=<zone>] - -remove-service=<service>         //删除指定区域已设置的允许访问的某项服务
[- -zone=<zone>] - -list-ports         //显示指定区域内允许访问的所有端口号
[- -zone=<zone>] - -add-port=<portid>[-<portid>]/<protocol>         //为指定区域设置允许访问的某个/某段端口号 (包括协议名)
[- -zone=<zone>] - -remove-port=<portid>[-<portid>]/<protocol>         //删除指定区域已设置的允许访问的端口号(包括协议名)
[- -zone=<zone>] - -list-icmp-blocks         //显示指定区域内拒绝访问的所有ICMP类型
[- -zone=<zone>] - -add-icmp-block=<icmptype>         //为指定区域设置拒绝访问的某项ICMP类型
[- -zone=<zone>] - -remove-icmp-block=<icmptype>         //删除指定区域已设置的拒绝访问的某项ICMP类型,省略- -zone=<zone>时表示对默认区域操作
[- -zone=<zone>] - -remove-icmp-block=<icmptype>         //查询指定区域的ICMP阻塞功能

5.端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是对于非预定义的服务只能手动为指定的区域添加端口

端口管理命令

firewall-cmd - -zone=internal - -add-ports      //显示internal区域内允许访问的使用端口号
firewall-cmd - -zone=internal - -remove-port=22/tcp - -timeout=5m       //启用internal 区域22端口的TCP协议访问,- -timeout=5m表示5分钟后删除除该端口(多用于测试)
firewall-cmd - -zone=internal - -remove-port=443/tcp       //禁止internal 区域443端口的TCP协议访问
firewall-cmd - -zone=internal - -query-port=22/tcp      //查询internal 区域中是否启用22端口和TCP协议

6.两种配置模式

运行时模式:
表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效
永久模式:
表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的

配置模式选项

 - -reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
 - -permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时
规则。
- -runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性的配置

原文地址:https://blog.51cto.com/14449521/2441942

时间: 2024-11-09 07:03:01

Firewalld防火墙(CentOS 7)的相关文章

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙 时间:2014-10-13 19:03:48  作者:哎丫丫  来源:哎丫丫数码网  查看:11761  评论:2 service firewalld stop 1. Disable Firewalld Service. [root@rhel-centos7-tejas-barot-linux ~]# systemctl mask firewalld 2. Stop Firewalld Service. [ro

CentOS firewalld 防火墙操作

Centos 7 开启端口CentOS 7 默认没有使用iptables,所以通过编辑iptables的配置文件来开启80端口是不可以的 CentOS 7 采用了 firewalld 防火墙 如要查询是否开启80端口则: [[email protected] ~]# firewall-cmd --query-port=80/tcp no 下面我们开启80端口: [[email protected] ~]# firewall-cmd --add-port=80/tcpsuccess

Linux系统安全之CentOS 7 firewalld防火墙入门详解

在Internet中,企业通过架设各种应用系统来为用户提供各种网络服务,比如Web网站.电子邮件.FTP服务器等.而且大部分都是使用Linux服务器进行搭建的.那么,想要保护这些服务器,过滤非授权的访问,甚至恶意进入内部网络 .就需要使用到--防火墙. 防火墙除了硬件防火墙之外,Linux系统的防火墙也十分强大,今天主要认识CentOS 7系统的防火墙--firewalld. 一.Linux防火墙基础 不管是Linux系统.Windows系统的防火墙或者是硬件防火墙都是设置不同网络与网络安全之间

centos 7的firewalld防火墙配置IP伪装和端口转发(内附配置案例)

IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址.当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由.地址伪装可以实现局域网多个地址共享单一公网地址上网.类似于NAT技术中的端口多路复用(PAT).IP地址伪装仅支持ipv4,不支持ipv6. 端口转发:也可以称之为目的地址转换或端口映射.通过端口转发,将指定IP地址及端

详述CentOS 7中Firewalld防火墙基础

Firewalld概述 Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4.IPv6防火 墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter netfilter是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统 netfilter采用模块化设计,具有良好的可扩充性 位于Linux内核中的包过滤功能体

Firewalld on Centos 7 相关配置

Centos 7 默认使用防火墙为Firewalld防火墙,如下是关于Firewalld防火墙的一些配置介绍. 在使用firewalld之前,我们需要先检查一下firewalld的状态 [[email protected] ~]# firewall-cmd --staterunning running 表示firewalld是开启状态并正在运行. 有的时后会显示unit is masked,表示 防火墙被"遮盖",我们需要输入一下 [[email protected] ~]# syst

CentOS7、REHL7的firewalld防火墙使用简单说明

title: CentOS7.REHL7的firewalld防火墙使用简单说明 categories: Linux tags: - Linux timezone: Asia/Shanghai date: 2019-02-25 环境 [[email protected] zones]# cat /etc/centos-release CentOS Linux release 7.6.1810 (Core) [[email protected] home]# firewall-cmd -V 0.5.

firewalld防火墙

需求目的:能正确熟练的掌握firewalld防火墙的配置 能有什么样的效果:能在实际生产过程中熟练的配置防火墙策略,灵活运用于各种实际的生产环境.         理论知识点的描述:1.rhel7默认使用firewalld作为防火墙,管理工具是firewall-cmd,是包过滤机制,底层的调用命令仍然是iptables.                           2.rhel7中有几种防火墙共存:firewall,iptables,ebtables,因为这几种daemon是冲突的,所以

Centos7 firewalld防火墙学习使用记录

1.firewalld防火墙简介. FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具.它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口. 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启.这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等.而模块的卸载