本章目录
1. firewalld 概述
1.1 firewalld 和 iptables 的分析
1.2 firewalld 和 iptables 区别
2. firewalld 网络区域
2.1 firewalld 区域的概念
2.2 firewalld 防火墙预定义的区域
2.3 firewalld 数据处理流程
3. firewalld 防火墙的配置方法
3.1 firewalld 配置方案
3.2 firewalld 配置方法
4. 使用 firewall-cmd 命令行工具
4.1 常用的 firewall-cmd 命令选项
4.2 区域管理
4.3 服务管理
4.4 端口管理
firewalld 防火墙是 Centos7 系统默认的防火墙管理工具,取代了之前的 iptables 防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向 netfilter 网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld 提供了支持网络区域所定义的网络连接以及接口 安全等级的动态防火墙管理工具。
它支持 IPv4、IPv6 防火墙设置,以及以太网桥 (在某些高级服务可能会用到, 比如云计算),并且拥有两种配置模式:运行时配置与永久配置。
iptables 主要是基于接口,来设置规则, 从而判断网络的安全性。
firewalld 是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
iptables 在 /etc/sysconfig/iptables 中储存配置,
firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。
使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。
因此 firewalld 可以在运行时间内,改变设置而不丢失现行连接。
2. firewalld 网络区域
2.1 firewalld 区域的概念
firewalld 防火墙为了简化管理,将所有网络流量分为多个区域(zone)。
然后根据数据包的源 IP 地址或传入的网络接口等条件将流量传入相应区域。
每个区域都定义了自己打开或者关闭的端口和服务列表。
trusted(信任区域) |
允许所有的传入流量。 |
public(公共区域) |
允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。 是新添加网络接口的默认区域。 |
external (外部区域) |
允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPy4传出流量将进行地址伪装, 可用于为路由器启用了伪装功能的外部网络。 |
home (家庭区域) | 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。 |
internal (内部区域) | 默认值时与home区域相同。 |
work (工作区域) | 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。 |
dmz (隔离区域也称为非军事区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝 |
block(限制区域) | 拒绝所有传入流量。 |
drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。 |
- 最终一个区域的安全程度是取决于管理员在此区域中设置的规则;
- 区域如同进入主机的安全门, 每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入;
- 可以根据网络规模,使用—个或多个区域,但是任何一个 活跃区域 至少需要关联源地却或接口。
- 默认情况下,public 区域是默认区域,包含所有接口 (网卡)。
firewalld 对于进入系统的数据包, 会根据数据包的源 IP 地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。
对于进入系统的数据包,首先检查的就是其源地址:
- 若源地址关联到特定的区域(即源地址或接 口绑定的区域有冲突), 则执行该区域高制定的规则。
- 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
- 若网络接口也未关联到特定的区域 (即源地址或接口都没有绑定特定的某个区域), 则使用默认区域并执行该区域所制定的规则。
总结:
- 绑定源地址的区域规则>网卡接口绑定的区域规则>默认区域的规则
- Firewalld:只关心区域
- Iptables:四表五链及流量的进出
3. firewalld 防火墙的配置方法
3.1 firewalld 配置方案
(1)运行时配置
- 不中断现有连接
- 不能修改服务配置
(2)永久配置
- 不立即生效,除非 firewalld 重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
- 使用 firewall-cmd 命令行工具。
- 使用 firewall-config 图形工具。
- 编写 /etc/firewalld/ 中的配置文件。
- 使用命令之前先要开启Firewalld服务
1 --get-default-zone :显示当前默认区域 2 --set-default-zone=<zone> :设置默认区域 3 4 --get-active-zones: 显示当前正在使用的区域及其对应的网卡接口 5 --get-zones :显示所有可用的区域 6 7 --get-zone-of-interface=<interface> :显示指定接口绑定的区域 8 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域 9 --zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口 10 --zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口 11 12 --zone=<zone> --add-source=<source> [/<mask>] :为指定源地址绑定区域 13 --zone=<zone> --change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址 14 --zone=<zone> --remove-source=<source>[/ <mask>] :为指定的区域删除绑定的源地址 15 16 --list-all-zones :显示所有区域及其规则 17 [--zone=<zone>] --list-all :显示所有 指定区域的所有规则,省略--zone=<zone>时 表示仅对默认区域操作 18 19 [--zone=<zone>] --list-services :显示指定 区域内允许访问的所有服务 20 [--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务 21 [--zone=<zone>] --remcve-service=<service> :删除指定区域已设置的允许访问的某项服务 22 23 [--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号 24 [--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名) 25 [--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号( 包括协议名) 26 27 [--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP 类型 28 [--zone=<zone>] --add- icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP 类型 29 [--zone=<zone>] --remove-icmp-block=<icmptype> :删除 指定区域已设置的拒绝访问的某项ICMP类型 30 31 firewall-cmd --get-icmptypes :显示所有ICMP 类型
1 (1) 显示当前系统中的默认区域 2 firewall-cmd --get-default-zone 3 4 (2) 显示默认区域的所有规则 5 firewall-cmd --list-all 6 7 (3) 显示当前正在使用的区域及其对应的网卡接口 8 firewall-cmd --get-active -zones 9 10 (4) 设置默认区域 11 firewall-cmd --set-default-zone=home 12 firewall-cmd --get-default-zone
1 (1) 查看默认区域内允许访问的所有服务 2 firewall-cmd --list-service 3 4 (2) 添加httpd服务到public区域 5 firewall-cmd --add-service=http --zone=public 6 7 (3) 查看public区域已配置规则 8 firewall-cmd --list-all --zone=public 9 10 (4) 删除public区域的httpd服务 11 firewall-cmd --remove-service=http --zone=public 12 13 (5) 同时添加httpd、https 服务到默认区域,设置成永久生效 14 firewall-cmd --add-service=http --add-service=https --permanent 15 firewall-cmd --add-service={http, https, ftp} --zone=internal 16 firewall-cmd --reload 17 firewall-cmd --list-all
- 添加使用 --permanent 选项表示设置成永久生效,需要重新启动firewalld 服务或执行 firewall-cmd --reload 命令,重新加载防火墙规则时才会生效。
- 若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld 服务重启、停止时配置将失效。
1 firewall-cmd --runtime-to-permanent∶将当前的运行时配置写入规则配置文件中,使之成为永久性配置
1 (1) 允许TCP的443端口到internal 区域 2 firewall-cmd --zone=internal --add-port=443/tcp 3 firewall-cmd --list-all --zone=internal 4 5 (2) 从internal区域将TCP的443端口移除 6 firewall-cmd --zone=internal --remove-port=443/tcp 7 8 (3) 允许UDP的2048~2050端口到默认区域 9 firewall-cmd -- add-port=2048-2050/udp 10 firewall-cmd --list-all
-