文章目录
前言
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者称为网络层防火墙)。Linux系统的防护墙体系基于内核编码实现。具有非常稳定的性能和极高的效率,也因此获得广泛的应用。
一、Firewalld概述
Firewalld
- 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
- 支持IPv4、IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式
◆运行时配置
◆永久配置
二、Firewalld和iptables的关系
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
Firewalld/iptables
- CentOS7默认的管理防火墙规则的工具(Firewalld)
- 称为Linux防火墙的“用户态”
三、Firewalld网络区域
1、区域介绍
- 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
- 默认情况下,public区域是默认区域,包含所有接口(网卡)
2、Firewalld数据处理流程
检查数据来源的源地址
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
四、Firewalld防火墙的配置方法
1、运行时配置
- 实时生效,并持续至Firewalld重新启动或重新加载配置
- 不中断现有连接
- 不能修改服务配置
2、永久配置
- 不立即生效,除非Firewalld重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
3、Firewall-config图形工具
4、Firewall-cmd命令行工具
5、/etc/firewalld/中的配置文件
- Firewalld会优先使用/etc/Firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
◆/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
◆/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
五、Firewall-config图形工具
首先要开启防火墙,其次只能在终端输入firewall-config,不能远程
1、运行时配置/永久配置
2、重新加载防火墙
- 更改永久配置并生效
3、关联网卡到指定区域
4、修改默认区域
5、连接状态
6、“区域”选项卡
- “服务”子选项卡
- “端口”子选项卡
- “协议”子选项卡
- “源端口”子选项卡
- “伪装”子选项卡
- “端口转发”子选项卡
- “ICMP过滤器”子选项卡
7、“服务”选项卡
- “模块”子选项卡
- “目标地址”子选项卡
六、Firewalld防火墙案例
