Artikelverzeichnis
- Erstens eine Firewall-Übersicht
- Zweitens der Unterschied zwischen Firewall und Iptables
- Drittens das Konzept des Firewall-Bereichs
- Vier, Firewalld Firewall vordefinierte 9 Bereiche
- Fünftens Firewalld-Datenverarbeitungsprozess
- Sechs, Firewalld Firewall-Konfigurationsmethode
- Sieben, Firewall und Firewall-Konfigurationsmethode
- 8. Häufig verwendete Befehlsoptionen für Firewall-cmd
Erstens eine Firewall-Übersicht
-
Die Firewall-Firewall ist das Standard-Firewall-Verwaltungstool des Centos7-Systems. Sie ersetzt die vorherige iptables-Firewall. Sie funktioniert auch auf Netzwerkebene und gehört zur Paketfilter-Firewall.
-
Sowohl firewalld als auch iptables sind Tools zum Verwalten von Firewalls (die zum Benutzermodus gehören) zum Definieren verschiedener Regelfunktionen der Firewall. Die interne Struktur verweist auf das Netfilter-Netzwerkfilter-Subsystem (das zum Kernel-Modus gehört), um die Paketfilter-Firewall-Funktion zu realisieren.
-
firewalld bietet ein dynamisches Firewall-Verwaltungstool, das Netzwerkverbindungen und Schnittstellensicherheitsstufen unterstützt, die durch Netzwerkzonen definiert werden. Es unterstützt IPV4-, IPv6-Firewall-Einstellungen und Ethernet-Bridge (kann in einigen erweiterten Diensten wie Cloud Computing verwendet werden) und verfügt über zwei Konfigurationsmodi:Laufzeitkonfiguration und permanente Konfiguration
Zweitens der Unterschied zwischen Firewall und Iptables
1.
iptables basiert hauptsächlich auf Schnittstellen zum Festlegen von Regeln zur Bestimmung der Sicherheit des Netzwerks.
Firewalld basiert auf Zonen, und je nach Zone werden unterschiedliche Regeln festgelegt, um die Netzwerksicherheit zu gewährleisten. Ähnlich wie bei der Einstellung der Hardware-Firewall.
2.
iptables speichert die Konfiguration in / etc / sysconfig / iptables
firewalld speichert die Konfiguration in verschiedenen XML-Dateien in / etc / firewalld / ( Ladepriorität ) und / usr / lib / firewalld / (Standardkonfigurationsdatei).
3.
Jede einzelne Änderung mit iptables bedeutet, alle alten Regeln zu löschen und alle neuen Regeln aus / etc / sysconfig / iptables zu lesen.
Wenn Sie firewalld verwenden, werden keine neuen Regeln erstellt. Führen Sie lediglich die Unterschiede in den Regeln aus. Daher kann firewalld die Einstellungen zur Laufzeit ändern, ohne die aktuelle Verbindung zu verlieren.
4. Der
Firewall-Typ von iptables ist eine statische
Firewall. Der Firewall-Typ ist eine dynamische Firewall
Drittens das Konzept des Firewall-Bereichs
Um die Verwaltung zu vereinfachen, unterteilt firewalld den gesamten Netzwerkverkehr in mehrere Zonen. Dann wird gemäß der Quell-IP-Adresse des Datenpakets oder der eingehenden Netzwerkschnittstelle und anderen Bedingungen der Verkehr in den entsprechenden Bereich übertragen. Jeder Bereich definiert eine Liste von Ports und Diensten, die geöffnet oder geschlossen werden.
Vier, Firewalld Firewall vordefinierte 9 Bereiche
| Bereich | bewirken |
|---|---|
| vertrauenswürdig (Vertrauenszone) | Zulassen des gesamten eingehenden Datenverkehrs (normalerweise im Intranet verwendet) |
| öffentlich (öffentlicher Bereich) | Eingehender Datenverkehr, der dem vordefinierten Dienst ssh oder dhcpv6-client entspricht, ist zulässig, der Rest wird abgelehnt. Dies ist der Standardbereich für neu hinzugefügte Netzwerkschnittstellen. |
| extern (externer Bereich) | Erlauben Sie eingehenden Datenverkehr, der dem vordefinierten ssh-Dienst entspricht, und lehnen Sie den Rest ab. Der ausgehende IPV4-Verkehr, der über diesen Bereich weitergeleitet wird, wird standardmäßig maskiert. Dies kann für externe Netzwerke verwendet werden, für die die Maskierung für den Router aktiviert ist. |
| Zuhause (Familienbereich) | Erlauben Sie eingehenden Datenverkehr, der mit den vordefinierten Diensten von ssh, ipp-client, mdns, samba-client oder dhcpv6-client übereinstimmt, und lehnen Sie den Rest ab |
| intern (interner Bereich) | Der Standardwert entspricht dem Heimatbereich. |
| Arbeit (Arbeitsbereich) | Eingehender Datenverkehr, der dem vordefinierten Dienst von ssh. Ipp-client. Dhcpv6-client entspricht, ist zulässig, der Rest wird abgelehnt. |
| dmz (isoliertes Gebiet wird auch als entmilitarisiertes Gebiet bezeichnet) | Erlauben Sie eingehenden Datenverkehr, der dem vordefinierten ssh-Dienst entspricht, und lehnen Sie den Rest ab. |
| Block (Sperrbereich) | Verweigern Sie den gesamten eingehenden Verkehr |
| drop (Drop-Bereich) | Der gesamte eingehende Datenverkehr wird verworfen und es wird keine Fehlerantwort einschließlich ICMP generiert. |
Letztendlich hängt die Sicherheit eines Bereichs von den Regeln ab, die der Administrator in diesem Bereich festgelegt hat.
Der Bereich ist wie eine Sicherheitstür zum Betreten des Hosts. Jeder Bereich hat Regeln mit unterschiedlichen Einschränkungen, und nur Verkehr, der den Regeln entspricht, darf passieren. Ein oder mehrere Bereiche können entsprechend der Netzwerkgröße verwendet werden, aber jeder aktive Bereich muss mindestens einer Quelladresse oder Schnittstelle zugeordnet sein.
Standardmäßig ist der öffentliche Bereich der Standardbereich, einschließlich aller Schnittstellen (Netzwerkkarten).
Fünftens Firewalld-Datenverarbeitungsprozess
Überprüfen Sie die Quelladresse der Datenquelle
- Wenn die Quelladresse einem bestimmten Bereich zugeordnet ist, werden die vom Bereich angegebenen Regeln ausgeführt
- Wenn die Quelladresse keinem bestimmten Bereich zugeordnet ist, verwenden Sie den Bereich der eingehenden Netzwerkschnittstelle und führen Sie die im Bereich angegebenen Regeln aus
- Wenn die Netzwerkschnittstelle keinem bestimmten Bereich zugeordnet ist, verwenden Sie den Standardbereich und führen Sie die im Bereich angegebenen Regeln aus (im Allgemeinen müssen die Regeln des Standardbereichs alle verweigern).
Sechs, Firewalld Firewall-Konfigurationsmethode
1. Laufzeitkonfiguration
- Wirken Sie in Echtzeit und fahren Sie fort, bis Firewalld die Konfiguration neu startet oder neu lädt
- Unterbricht keine bestehenden Verbindungen
- Dienstkonfiguration kann nicht geändert werden
2. Permanente Konfiguration
- Wirkt nicht sofort, es sei denn, Firewalld startet die Konfiguration neu oder lädt sie neu
- Trennen Sie die vorhandene Verbindung
- Kann die Dienstkonfiguration ändern
Sieben, Firewall und Firewall-Konfigurationsmethode
1. Verwenden Sie das Befehlszeilentool firewall-cmd. (Wird häufig verwendet)
2. Verwenden Sie das grafische Tool zur Firewall-Konfiguration.
3. Schreiben Sie die Konfigurationsdatei in / etc / firewalld /.
systemctl starte firewalld.service
8. Häufig verwendete Befehlsoptionen für Firewall-cmd
(1) Allgemeine Befehle
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
--get-zone-of-source=<source> [/<mask>] :显示指定源地址绑定的区域
--zone=<zone> -add-source=<source> [/<mask>] :为指定源地址绑定区域
--zone=<zone> -change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> -remove-source=<source> [/<mask>] :为指定的区域删除绑定的源地址
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-al1 :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有ICMP类型
(2) Regionalmanagement
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
(3) Servicemanagement
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-al1
#添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
--runtime-to-permanent :将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
(4) Hafenverwaltung
(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048-2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all