系统运维
Firewalld概述
Firewalld简介
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6
防火 墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置
永久配置
Firewalld和iptables的关系
netfilter
netfilter
是Linux2.4.x
之后新一代的Linux
防火墙机制,是linux
内核的一个子系统
netfilter
采用模块化设计,具有良好的可扩充性
位于Linux
内核中的包过滤功能体系
称为Linux
防火墙的“内核态”
Firewalld/iptables
CentOS7
默认的管理防火墙规则的工具(Firewalld)
称为Linux
防火墙的“用户态”
Firewalld和iptables的区别
配置文件
/usr/lib/firewalld
<br/>/etc/firewalld/
/etc/sysconfig/iptables
对规则的修改
不需要全部刷新策略,不丢失现行连接
需要全部刷新策略,丢失连接
静态防火墙
动态防火墙(灵活)
静态防火墙
Firewalld网络区域
区域介绍
drop
(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block
(限制)
任何接收的网络连接都被lPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public
(公共)
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
external
(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
dmz
(非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接
work
(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home
(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal
(内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted
(信任)
可接受所有的网络连接
Firewalld数据处理流程
检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
Firewalld防火墙的配置方法
运行时配置
实时生效,并持续至Firewalld
重新启动或重新加载配置
不中断现有连接
不能修改服务配置
永久配置
不立即生效,除非Firewalld
重新启动或重新加载配置
中断现有连接
可以修改服务配置
Firewall-config图形工具
运行时配置/永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态
“区域”选项卡
“服务”子选项卡
“端口”子选项卡
“协议”子选项卡
“源端口”子选项卡,
“伪装”子选项卡
“端口转发”子选项卡
"ICMP过滤器”子选项卡
"服务”选项卡
“模块”子选项卡
“目标地址”子选项卡
Firewall-cmd命令行工具
启动、停止、查看 firewalld
服务
systemctl start firewalld //启动 firewalld
systemctl enable firewalld //设置 firewalld 为开机自启动
systemctl status firewalld //查看 firewalld 状态信息
firewall-cmd --state //查看 firewalld 状态信息
systemctl stop firewalld //停止 firewalld
systemctl disable firewalld //设置 firewalld 开机不自启动
获取预定义信息
firewall-cmd
预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP
阻塞类型
firewall-cmd --get-zones //显示预定义的区域
firewall-cmd --get-service //显示预定义的服务
firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
firewall-cmd --get-icmptypes
命令的执行结果中各种阻塞类型的含义
destination-unreachable
:目的地址不可达。
echo-reply
:应答回应(pong)。
parameter-problem
:参数问题。
redirect
:重新定向。
router-advertisement
:路由器通告。
router-solicitation
:路由器征寻。
source-quench
:源端抑制。
time-exceeded
:超时。
timestamp-reply
:时间戳应答回应。
timestamp-request
:时间戳请求。
区域管理
使用 firewall-cmd
命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
--get -default -zone
显示网络连接或接口的默认区域
--set -default -zone=<zone>
设置网络连接或接口的默认区域
--get -active -zones
显示已激活的所有区域
--get- zone -of -interface=<interface>
显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface>
为指定接口绑定区域
--zone=<zone> --change-interface=<interface>
为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface>
为指定的区域删除绑定的网络接口
--list-all-zones
显示所有区域及其规则
[--zone=<zone>] --list-a
显示所有指定区域的所有规则,省略--zone=<zone>
时表示仅
服务管理
firewalld
预先定义了 很 多 服 务 ,存放在/usr/lib/firewalld/services/
目录中,服务通过单个的 XML
配置文件来指定,这些配置文件则按以下格式命名:service-name.xml
,每个文件对应一项具体的网络服务,当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service
配置文件放置在 /etc/firewalld/services/
目录中。service
配置优点:通过服务名字来管理规则更加人性化、通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服 务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
firewall-cmd
命令区域中服务管理的常用选项说明:
[--zone=<zone>] --list-services
显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service>
为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service>
删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports
显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>
为指定区域设置允许访问的某个/某段端口号 (包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>
删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks
显示指定区域内拒绝访问的所有 ICMP
类型
[--zone=<zone>] --add-icmp-block=<icmptype>
为指定区域设置拒绝访问的某项 ICMP
类型
[--zone=<zone>] --remove-icmp-block=<icmptype>
删除指定区域已设置的拒绝访问的某项 ICMP 类 型,省略--zone=<zone>
时表示对默认区域操作
端口管理
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自 动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。
firewall-cmd --zone=internal --add-port=443/tcp //再internal区域打开443端口
firewall-cmd --zone=internal --remove-port=443/tcp //再internal区域禁用443端口
两种配置模式
firewall-cmd
命令工具有两种配置模式:运行时模式(Runtime mode)
表示 当前内存中运行的防火墙配置,在系统或 firewalld
服务重启、停止时配置将失效、永久模 式(Permanent mode)
表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置 文件中的。
firewall-cmd
命令工具与配置模式相关的选项有三个:
--reload
重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置
--permanent
带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则
--runtime-to-permanent
将当前的运行时配置写入规则配置文件中,使之成为永久性
/etc/firewalld/中的配置文件
Firewalld
会优先使用/etc/firewalld
/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/
中的配置
/etc/firewalld/
:用户自定义配置文件,需要时可以通过从/usr/lib/firewalld/
中拷贝
/usr/lib/firewalld/
:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/
中的配置