Linux系统安全之CentOS 7 firewalld防火墙入门详解

在Internet中，企业通过架设各种应用系统来为用户提供各种网络服务，比如Web网站、电子邮件、FTP服务器等。而且大部分都是使用Linux服务器进行搭建的。那么，想要保护这些服务器，过滤非授权的访问，甚至恶意进入内部网络 。就需要使用到——防火墙。

防火墙除了硬件防火墙之外，Linux系统的防火墙也十分强大，今天主要认识CentOS 7系统的防火墙——firewalld。

一、Linux防火墙基础

不管是Linux系统、Windows系统的防火墙或者是硬件防火墙都是设置不同网络与网络安全之间的一系列部件的组合，也是不同安全域之间信息的唯一出（入）口。通过检测、限制并更改跨越防火墙的数据流。尽可能地对外屏蔽网络内部的信息、结构和运行状态，且可以有选择的接受外部外部网络的访问。在内外网之间架起一道安全的屏障，以避免发生不知情的情况下进入内部网络，对我们内部网络产生一定的威胁。

从传统意义上来说防火墙分为三类：包过滤、应用代理、状态检测。无论一个防火墙的实现过程有多复杂，说到底都是在这三种技术的基础上进行扩展的。

Linux的防火墙体系主要工作在网络层，属于典型的包过滤防火墙（也称为网络层防火墙）。

包过滤防火墙的工作原理：

• 工作在网络层，针对IP数据包；
• 静态的打开端口、具有一定的安全隐患；
• 体现在对包内的IP地址、端口等信息的处理上；

状态检测防火墙的工作原理：

• 工作在网络层；
• 动态的打开端口；

应用代理防火墙的工作原理：

• 工作在应用层；

Linux系统的防火墙体系基于内核编码实现，既有非常稳定的性能和高效率，也因此获得广泛的应用。Linux系统的防火墙主要有：firewalld、iptables、ebtables。不过在CentOS 7 系统中默认使用firewalld来管理netfilter子系统。

• netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”的防火墙功能体系；
• firewalld：指用于管理Linux防火墙的命令程序，属于“用户态”的防火墙的管理体系。

严格意义上来说，netfilter才是Linux系统的防火墙，firewalld只是管理netfilter的工具而已！

二、firewalld概述

1.firewalld简介

firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具，支持ipv4、ipv6防火墙以及以太网桥，并且拥有两种配置模式：运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则。

2.firewalld的区域

firewalld将所有的网络数据流量划分为多个区域，从而简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检查的就是其源地址。

firewalld数据处理流程：
首先检查的就是其源地址。

• 若源地址关联到特定的区域，则执行该区域所制定的规则；
• 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所制定的规则；
• 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则；

默认区域不是单独的区域，而是执行系统上定义的某个其他区域。默认情况下，默认区域是public，系统管理员可以根据实际情况进行修改。

以上匹配规则，按照先后顺序，第一个匹配的规则胜出（从上往下、找到即停！）

在每个区域中都可以配置其要打开或者关闭的一系列服务或端口，firewalld的每个预定义的区域默认都开启一些相应的服务，如图：

传出流量：简单来说就是访问的资源不是防火墙本身，而是通过防火墙的流量称为传出流量。

3.firewalld防火墙的配置方法

在CentOS 7 系统中，可以使用三种方式配置防火墙：

• firewall-config图形工具；
• firewall-cmd命令行工具；
• /etc/firewalld/中的配置文件；

通常情况下，不建议直接修改其配置文件！

（1）图形化管理工具

打开图形化管理工具的两种方式：

1）图形化桌面

2）通过终端命令打开

[root@localhost ~]# firewall-config

由于图形化简单易懂，所以这里就不详细介绍了！

（2）firewall-cmd命令行工具

1）启动、停止、查看firewalld服务

[root@localhost ~]# systemctl start firewalld
//启动firewalld服务
[root@localhost ~]# systemctl enable firewalld
//将firewalld服务设置为开机自启动
[root@localhost ~]# systemctl status firewalld
//查看firewalld服务状态
[root@localhost ~]# firewall-cmd --state
//查看firewalld服务状态
[root@localhost ~]# systemctl stop firewalld
//停止firewalld服务
[root@localhost ~]# systemctl disable firewalld
//将firewalld服务设置为开机不自动启动

2）获取预定义信息

[root@localhost ~]# firewall-cmd --get-zones
//显示预定义的区域信息
[root@localhost ~]# firewall-cmd --get-services
//显示预定义的服务（服务较多，大部分都是常用的，这里就不介绍了）
[root@localhost ~]# firewall-cmd --get-icmptypes
//显示预定义的ICMP类型

firewall-cmd --get-icmptypes命令执行结果中各类的含义：

• destination-unreachable：目的地址不可达；
• echo-reply：应答回应；
• parameter-problem：参数问题；
• redirect：重新定向；
• router-advertisement：路由器通告；
• router-solicitation：路由器征寻；
• source-quench：源端抑制；
• time-exceeded：超时；
• timestamp-reply：时间戳应答回应；
• timestamp-request：时间戳请求；

3）区域管理

区域管理命令的常用选项，如图：

[root@localhost ~]# firewall-cmd --get-default-zone
//显示当前系统中的默认区域
[root@localhost ~]# firewall-cmd --list-all
//显示默认区域的所有规则
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
//显示网络接口ens33对应的区域
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'internal'.
success
//将网络接口ens33对应区域改为internal区域
[root@localhost ~]#  firewall-cmd --zone=internal --list-interfaces 
ens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal
//验证
[root@localhost ~]# firewall-cmd --get-active-zones
internal
  interfaces: ens33
//显示所有激活区域

4）服务管理

在最新版本firewalld中默认定义了70多种服务供我们使用，对于每个网络区域，均可以配置允许访问服务。当需要添加的服务在列表中没有的话，可以添加端口。

区域服务管理的常用选项，如图：

[root@localhost ~]# firewall-cmd --list-services
dhcpv6-client ssh
//显示默认区域允许访问的服务
[root@localhost ~]# firewall-cmd --add-service=http
//设置默认区域允许访问http服务
[root@localhost ~]# firewall-cmd --list-services
dhcpv6-client ssh http
//验证效果
[root@localhost ~]# firewall-cmd --zone=internal --add-port=80/tcp
success
//在internal区域上允许TCP协议80端口访问
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success
//在internal区域上禁止TCP协议443端口访问
[root@localhost ~]# firewall-cmd --list-all --zone=internal
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  sourceports: 
  icmp-blocks: 
  rich rules: 
//查看指定区域的详细配置

使用firewall-cmd命令行工具有两种配置模式：

• 运行时模式：表示当前内存中运行的防火墙配置，在系统重启或者firewalld服务重启时配置将会失效；
• 永久模式：表示重启firewalld服务或重启系统时，系统将自动的加载防火墙的规则配置，是永久存储在配置文件中；

firewall-cmd命令工具与配置模式相关的三个选项：

• --reload：重新加载防火墙并保持状态信息，即将永久配置应用为运行时配置；
• --permanent：带此选项的命令用于设置永久规则，这些规则只有在重新启动firewalld服务是规则才会生效；若不带此选项，表示用于设置运行时规则；
• --runtime-to-permanent：将当前的运行配置写入规则配置文件中，使其成为永久配置。

关于firewalld防火墙介绍到此结束！