Firewalld防火墙

这篇具有很好参考价值的文章主要介绍了Firewalld防火墙。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一.firewalld 概述

• firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙

二.firewalld与iptables 的关系

1、Firewalld和iptables分析

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置,以及以太网桥 (在某些高级服务可能会用到, 比如云计算),并且拥有两种配置模式∶ 运行时配置与永久配置。

2、Firewalld和iptables区别

iptables主要是基于接口,来设置规则, 从而判断网络的安全性。

firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

iptables 在 /etc/sysconfig/iptables 中储存配置,

firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。

使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。

使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。

因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

iptables 防火墙类型为静态防火墙 ;firewalld 防火墙类型为动态防火墙

三、Firewalld网络区域

1、firewalld 区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

2、firewalld防火墙预定义了9个区域

  • trusted(信任区域)∶ 允许所有的传入流量。
  • public(公共区域)∶ 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
  • external (外部区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPy4传出流量将进行地址伪装, 可用于为路由器启用了伪装功能的外部网络。
  • home (家庭区域)∶ 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
  • internal (内部区域)∶ 默认值时与home区域相同。
  • work (工作区域)∶ 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
  • dmz (隔离区域也称为非军事区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
  • block(限制区域)∶拒绝所有传入流量。
  • drop(丢弃区域)∶ 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则;
区域如同进入主机的安全门,每个区 域都具有不同限制程度的规则,只会允许符合规则的流量传入;
可以根据网络规模,使用—个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
默认情况下,public区域是默认区域,包含所有接口 (网卡)。

3、firewalld数据处理流程

firewalld对于进入系统的数据包, 会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址:

若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突), 则执行该区域高制定的规则。

若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。

若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域), 则使用默认区域并执行该区域所制定的规则。

总结:绑定源地址的区域规则>网卡接口绑定的区域规则>默认区域的规则

Firewalld:只关心区域
Iptables:四表五链及流量的进出

四、Firewalld防火墙的配置方法

1、 Firewalld配置方案

运行时配置
●不中断现有连接
●不能修改服务配置
永久配置
●不立即生效,除非Firewalld重新启动或重新加载配置
●中断现有连接
●可以修改服务配置

2、Firewalld配置方法

  • 使用firewall-cmd 命令行工具。
  • 使用firewall-config 图形工具。
  • 编写/etc/firewalld/中的配置文件。

五、使用firewall-cmd 命令行工具

使用命令之前先要开启Firewalld服务

1、常用的firewall-cmd 命令选项

--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
 
--get-active-zones: 显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
 
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
 
--zone=<zone> --add-source=<source> [/<mask>] :为指定源地址绑定区域
--zone=<zone> --change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> --remove-source=<source>[/ <mask>] :为指定的区域删除绑定的源地址
 
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-all :显示所有 指定区域的所有规则,省略--zone=<zone>时 表示仅对默认区域操作
 
[--zone=<zone>] --list-services :显示指定 区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remcve-service=<service> :删除指定区域已设置的允许访问的某项服务
 
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号( 包括协议名)
 
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP 类型
[--zone=<zone>] --add- icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除 指定区域已设置的拒绝访问的某项ICMP类型
 
firewall-cmd --get-icmptypes :显示所有ICMP 类型

2、区域管理

(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
 
(2)显示默认区域的所有规则
firewall-cmd --list-all
 
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active -zones
 
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone

3、服务管理

(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
 
(2)添加httpd服务到public区域
firewall-cmd --add-service=http --zone=public
 
(3)查看public区域已配置规则
firewall-cmd --list-all --zone=public
 
(4)删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public
 
(5)同时添加httpd、https 服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http, https, ftp} --zone=internal
firewall-cmd --reload
firewall-cmd --list-all

添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效  

firewall-cmd --runtime-to-permanent∶将当前的运行时配置写入规则配置文件中,使之成为永久性配置

4、端口管理

(1)允许TCP的443端口到internal 区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
 
(2)从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
 
(3) 允许UDP的2048~2050端口到默认区域
firewall-cmd -- add-port=2048-2050/udp
firewall-cmd --list-all   

六、实例操作

1、查看当前默认区域,以及设置默认区域

Firewalld防火墙


  

2、查看所有区域,查看当前活跃区域

Firewalld防火墙

3、指定接口绑定区域,并查看指定接口绑定的区域

Firewalld防火墙


 

4、为指定区域修改或者删除绑定的网络接口

Firewalld防火墙


  

5、绑定IP并指定区域;解除绑定

Firewalld防火墙


 

6、查看所有区域及规则;查看指定区域的所有规则

Firewalld防火墙


  

Firewalld防火墙


  

7、查看指定区域允许访问的所有服务;给指定区域添加服务以及移除服务

Firewalld防火墙

8、给指定区域添加多个服务的两种方法

Firewalld防火墙

9、添加的服务设置为永久生效(临时设置的重启服务之后设置都不存在了)

Firewalld防火墙

10、可以把之前所有的设置都转为永久生效

firewall-cmd --runtime-to-permanent

11、给指定区域添加单个端口号或者添加多个端口号;移除端口

Firewalld防火墙

Firewalld防火墙

Firewalld防火墙文章来源地址https://www.toymoban.com/news/detail-408112.html

到了这里,关于Firewalld防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 防火墙firewalld 开启关闭端口

    对指定ip开放指定端口: 对指定ip关闭指定端口: 重启后生效: systemctl restart firewalld.service 列出全部生效的防火墙配置: firewall-cmd --list-all 开放指定端口: firewall-cmd --zone=public --add-port=8848/tcp --permanent 关闭指定端口: firewall-cmd --zone=public --remove-port=8848/tcp --permanent

    2024年01月21日
    浏览(46)
  • Firewalld防火墙 图形和字符

    目录 字符界面 一、防火墙介绍 二、防火墙的基本应用 将防火墙接口划分到区域中 区域添加访问规则 图形界面 安装图形化防火墙管理工具 [root@bogon ~]# yum -y install firewall-config   1、netfilter和防火墙管理工具 1)netfilter 防火墙内核模块 判断Linux是否支持防火墙功能检查内核是

    2024年02月15日
    浏览(36)
  • Linux 之 firewalld 防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月06日
    浏览(45)
  • Linux系统防火墙Firewalld

    目录 Firewalld概述 Firewalld和iptables的区别 Firewalld网络区域 区域介绍与概念 9个预定义区域 Firewalld数据处理流程 firewalld检查数据包的源地址的规则 Firewalld防火墙的配置方式 常用的firewall-cmd命令选项 服务管理 端口管理  Firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了

    2024年02月14日
    浏览(44)
  • Linux中的防火墙————Firewalld

    firewalld是一个服务,这个服务提供了防火墙配置的工具 只要开启了firewalld服务,那么就可以通过firewall服务提供的工具来配置防火墙 Linux本身不具备防火墙功能,而是通过内核的net_filter模块来实现软防火墙功能,而且你必须通过iptables才能和net_filter进行交互 默认在rhel7和fe

    2024年04月10日
    浏览(48)
  • Linux操作系统:Firewalld防火墙

    Linux操作系统:Firewalld 防火墙 课堂引入: Linux防火墙是通过netfilter来处理的,它是内核级别的框架。iptables被作为netfilter的用户态抽象层,iptables将包通过一系列的规则进行检查,如果包与特定的IP/端口/协议的组合匹配,规则就会被应用到这个包上,以决定包是被通过、拒绝

    2024年02月07日
    浏览(55)
  • linux-firewalld防火墙端口转发

    目的:通过统一地址实现对外同一地址暴露 1.系统配置文件开启 ipv4 端口转发 2.查看防火墙配置端口转发之前的状态 3.开启 IP 伪装 4.添加端口转发 5.重新加载防火墙并进行测试 附:删除端口转发 删除 IP 伪装

    2024年02月20日
    浏览(47)
  • Linux网络——shell编程之firewalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月07日
    浏览(44)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(52)
  • Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过

    2024年02月06日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包