Blog.044 Linux 防火墙② firewalld

本章目录

 

 

 

 

1. firewalld 概述
  1.1 firewalld 和 iptables 的分析
  1.2 firewalld 和 iptables 区别
2. firewalld 网络区域
  2.1 firewalld 区域的概念
  2.2 firewalld 防火墙预定义的区域
  2.3 firewalld 数据处理流程
3. firewalld 防火墙的配置方法
  3.1 firewalld 配置方案
  3.2 firewalld 配置方法
4. 使用 firewall-cmd 命令行工具
  4.1 常用的 firewall-cmd 命令选项
  4.2 区域管理
  4.3 服务管理
  4.4 端口管理

 

 

 

 

1. firewalld 概述

  firewalld 防火墙是 Centos7 系统默认的防火墙管理工具,取代了之前的 iptables 防火墙,也是工作在网络层,属于包过滤防火墙。


  1.1 firewalld 和 iptables 的分析

 

    firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向 netfilter 网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
    firewalld 提供了支持网络区域所定义的网络连接以及接口 安全等级的动态防火墙管理工具。
    它支持 IPv4、IPv6 防火墙设置,以及以太网桥 (在某些高级服务可能会用到, 比如云计算),并且拥有两种配置模式:运行时配置与永久配置。


  1.2 firewalld 和 iptables 区别

 

    iptables 主要是基于接口,来设置规则, 从而判断网络的安全性。
    firewalld 是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
    iptables 在 /etc/sysconfig/iptables 中储存配置,
    firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
    使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。
    使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。
    因此 firewalld 可以在运行时间内,改变设置而不丢失现行连接。


2. firewalld 网络区域
  2.1 firewalld 区域的概念

 

    firewalld 防火墙为了简化管理,将所有网络流量分为多个区域(zone)。
    然后根据数据包的源 IP 地址或传入的网络接口等条件将流量传入相应区域。
    每个区域都定义了自己打开或者关闭的端口和服务列表。


  2.2 firewalld 防火墙预定义的区域

 

trusted(信任区域)

允许所有的传入流量。

public(公共区域)

允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。

是新添加网络接口的默认区域。

external (外部区域)

允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。

默认将通过此区域转发的IPy4传出流量将进行地址伪装, 可用于为路由器启用了伪装功能的外部网络。

home (家庭区域) 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
internal (内部区域) 默认值时与home区域相同。
work (工作区域) 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
dmz (隔离区域也称为非军事区域) 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝
block(限制区域) 拒绝所有传入流量。
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。

 

 

  • 最终一个区域的安全程度是取决于管理员在此区域中设置的规则;
  • 区域如同进入主机的安全门, 每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入;
  • 可以根据网络规模,使用—个或多个区域,但是任何一个 活跃区域 至少需要关联源地却或接口。
  • 默认情况下,public 区域是默认区域,包含所有接口 (网卡)。


  2.3 firewalld 数据处理流程

 

    firewalld 对于进入系统的数据包, 会根据数据包的源 IP 地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。
    对于进入系统的数据包,首先检查的就是其源地址:

  • 若源地址关联到特定的区域(即源地址或接 口绑定的区域有冲突), 则执行该区域高制定的规则。
  • 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
  • 若网络接口也未关联到特定的区域 (即源地址或接口都没有绑定特定的某个区域), 则使用默认区域并执行该区域所制定的规则。

 

    总结:

  • 绑定源地址的区域规则>网卡接口绑定的区域规则>默认区域的规则
  • Firewalld:只关心区域
  • Iptables:四表五链及流量的进出


3. firewalld 防火墙的配置方法
  3.1 firewalld 配置方案

 

    (1)运行时配置

  • 不中断现有连接
  • 不能修改服务配置

    (2)永久配置

  • 不立即生效,除非 firewalld 重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置


  3.2 firewalld 配置方法

 

  • 使用 firewall-cmd 命令行工具。
  • 使用 firewall-config 图形工具。
  • 编写 /etc/firewalld/ 中的配置文件。


4. 使用 firewall-cmd 命令行工具

  • 使用命令之前先要开启Firewalld服务


  4.1 常用的 firewall-cmd 命令选项

 

 1 --get-default-zone :显示当前默认区域
 2 --set-default-zone=<zone> :设置默认区域
 3  
 4 --get-active-zones: 显示当前正在使用的区域及其对应的网卡接口
 5 --get-zones :显示所有可用的区域
 6  
 7 --get-zone-of-interface=<interface> :显示指定接口绑定的区域
 8 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域
 9 --zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
10 --zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
11  
12 --zone=<zone> --add-source=<source> [/<mask>] :为指定源地址绑定区域
13 --zone=<zone> --change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
14 --zone=<zone> --remove-source=<source>[/ <mask>] :为指定的区域删除绑定的源地址
15  
16 --list-all-zones :显示所有区域及其规则
17 [--zone=<zone>] --list-all :显示所有 指定区域的所有规则,省略--zone=<zone>时 表示仅对默认区域操作
18  
19 [--zone=<zone>] --list-services :显示指定 区域内允许访问的所有服务
20 [--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
21 [--zone=<zone>] --remcve-service=<service> :删除指定区域已设置的允许访问的某项服务
22  
23 [--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
24 [--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
25 [--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号( 包括协议名)
26  
27 [--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP 类型
28 [--zone=<zone>] --add- icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP 类型
29 [--zone=<zone>] --remove-icmp-block=<icmptype> :删除 指定区域已设置的拒绝访问的某项ICMP类型
30  
31 firewall-cmd --get-icmptypes :显示所有ICMP 类型

 

  4.2 区域管理

 

 

 1 (1)  显示当前系统中的默认区域
 2 firewall-cmd --get-default-zone
 3  
 4 (2)  显示默认区域的所有规则
 5 firewall-cmd --list-all
 6  
 7 (3)  显示当前正在使用的区域及其对应的网卡接口
 8 firewall-cmd --get-active -zones
 9  
10 (4)  设置默认区域
11 firewall-cmd --set-default-zone=home
12 firewall-cmd --get-default-zone

 

 

  4.3 服务管理

 

 

 1 (1)    查看默认区域内允许访问的所有服务
 2 firewall-cmd --list-service
 3  
 4 (2)    添加httpd服务到public区域
 5 firewall-cmd --add-service=http --zone=public
 6  
 7 (3)    查看public区域已配置规则
 8 firewall-cmd --list-all --zone=public
 9  
10 (4)    删除public区域的httpd服务
11 firewall-cmd --remove-service=http --zone=public
12  
13 (5)    同时添加httpd、https 服务到默认区域,设置成永久生效
14 firewall-cmd --add-service=http --add-service=https --permanent
15 firewall-cmd --add-service={http, https, ftp} --zone=internal
16 firewall-cmd --reload
17 firewall-cmd --list-all

 

 

 

  • 添加使用 --permanent 选项表示设置成永久生效,需要重新启动firewalld 服务或执行 firewall-cmd --reload 命令,重新加载防火墙规则时才会生效。
  • 若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld 服务重启、停止时配置将失效。

 

 

1 firewall-cmd --runtime-to-permanent∶将当前的运行时配置写入规则配置文件中,使之成为永久性配置

 

 

  4.4 端口管理

 

 

 1 (1)    允许TCP的443端口到internal 区域
 2 firewall-cmd --zone=internal --add-port=443/tcp
 3 firewall-cmd --list-all --zone=internal
 4  
 5 (2)    从internal区域将TCP的443端口移除
 6 firewall-cmd --zone=internal --remove-port=443/tcp
 7  
 8 (3)    允许UDP的2048~2050端口到默认区域
 9 firewall-cmd -- add-port=2048-2050/udp
10 firewall-cmd --list-all  

 

 

 

 

 

-

 

上一篇:linux防火墙(下)


下一篇:防火墙—firewalld