Directorio de artículos
- Uno, descripción general de firewalld
- Dos, la diferencia entre firewalld e iptables
- Tres, el concepto de área de Firewall.
- Cuatro, firewall firewalld predefinido 9 áreas
- Cinco, proceso de procesamiento de datos de Firewalld
- Seis, método de configuración del cortafuegos Firewalld
- Siete, método de configuración de firewall firewalld
- 8. Opciones de comando firewall-cmd más utilizadas
Uno, descripción general de firewalld
-
El firewall firewalld es la herramienta de administración de firewall por defecto del sistema Centos7, reemplaza al firewall iptables anterior, también funciona en la capa de red y pertenece al firewall de filtrado de paquetes.
-
Tanto firewalld como iptables son herramientas utilizadas para administrar firewalls (pertenecientes al modo de usuario) para definir varias funciones de reglas del firewall, y la estructura interna apunta al subsistema de filtrado de red netfilter (perteneciente al modo kernel) para realizar la función de firewall de filtrado de paquetes.
-
firewalld proporciona una herramienta de administración de firewall dinámica que admite conexiones de red y niveles de seguridad de interfaz definidos por zonas de red. Admite configuraciones de firewall IPV4, IPv6 y puente Ethernet (puede usarse en algunos servicios avanzados, como computación en la nube), y tiene dos modos de configuración:Configuración en tiempo de ejecución y configuración permanente
Dos, la diferencia entre firewalld e iptables
1.
iptables se basa principalmente en interfaces para establecer reglas para determinar la seguridad de la red.
Firewalld se basa en zonas y se establecen diferentes reglas de acuerdo con las diferentes zonas para garantizar la seguridad de la red. Similar a la configuración del firewall de hardware.
2.
iptables almacena la configuración en / etc / sysconfig / iptables
firewalld almacena la configuración en varios archivos XML en / etc / firewalld / (prioridad de carga) y / usr / lib / firewalld / (archivo de configuración predeterminado).
3.
Cada cambio individual usando iptables significa borrar todas las reglas antiguas y leer todas las reglas nuevas de / etc / sysconfig / iptables.
El uso de firewalld no creará nuevas reglas, solo ejecutará las diferencias en las reglas. Por lo tanto, firewalld puede cambiar la configuración durante el tiempo de ejecución sin perder la conexión actual.
4.
iptables firewall tipo es estática firewall
firewalld firewall tipo es firewall dinámico
Tres, el concepto de área de Firewall.
Para simplificar la administración, firewalld divide todo el tráfico de la red en varias zonas. Luego, de acuerdo con la dirección IP de origen del paquete de datos o la interfaz de red entrante y otras condiciones, el tráfico se transfiere al área correspondiente. Cada área define una lista de puertos y servicios que abre o cierra.
Cuatro, firewall firewalld predefinido 9 áreas
| zona | efecto |
|---|---|
| confiable (zona de confianza) | Permitir todo el tráfico entrante (generalmente se usa en la intranet) |
| público (área pública) | Se permite el tráfico entrante que coincide con el servicio predefinido de ssh o dhcpv6-client, y el resto se deniega. Es el área predeterminada para las interfaces de red recién agregadas. |
| externo (área externa) | Permita el tráfico entrante que coincida con el servicio predefinido ssh y rechace el resto. El tráfico saliente IPV4 que se reenviará a través de esta área se enmascarará de forma predeterminada, lo que se puede usar para redes externas que tienen habilitado el enmascaramiento para el enrutador. |
| hogar (área familiar) | Permita el tráfico entrante que coincida con los servicios predefinidos de ssh, ipp-client, mdns, samba-client o dhcpv6-client, y rechace el resto |
| interno (área interna) | El valor predeterminado es el mismo que el del área de origen. |
| trabajo (área de trabajo) | Se permite el tráfico entrante que coincide con el servicio predefinido de ssh. Ipp-client. Dhcpv6-client y el resto se rechaza. |
| dmz (el área aislada también se llama área desmilitarizada) | Permita el tráfico entrante que coincida con el servicio predefinido ssh y rechace el resto. |
| bloque (área restringida) | Negar todo el tráfico entrante |
| gota (área de caída) | Todo el tráfico entrante se descarta y no se genera ninguna respuesta de error, incluido ICMP. |
En última instancia, la seguridad de un área depende de las reglas establecidas por el administrador en esta área.
El área es como una puerta de seguridad para ingresar al anfitrión.Cada área tiene reglas con diferentes grados de restricción, y solo se permite el paso del tráfico que cumpla con las reglas. Se pueden usar una o más áreas según el tamaño de la red, pero cualquier área activa debe estar asociada con al menos una dirección o interfaz de origen.
De forma predeterminada, el área pública es el área predeterminada, incluidas todas las interfaces (tarjetas de red).
Cinco, proceso de procesamiento de datos de Firewalld
Verifique la dirección de origen de la fuente de datos
- Si la dirección de origen está asociada con un área específica, se ejecutan las reglas especificadas por el área
- Si la dirección de origen no está asociada con un área específica, use el área de la interfaz de red entrante y ejecute las reglas especificadas por el área
- Si la interfaz de red no está asociada con un área específica, use el área predeterminada y ejecute las reglas especificadas en el área (en términos generales, las reglas del área predeterminada son denegar todo)
Seis, método de configuración del cortafuegos Firewalld
1. Configuración del tiempo de ejecución
- Surte efecto en tiempo real y continúe hasta que Firewalld reinicie o recargue la configuración
- No interrumpe las conexiones existentes
- No se puede modificar la configuración del servicio
2. Configuración permanente
- No entra en vigor de inmediato, a menos que Firewalld reinicie o recargue la configuración.
- Desconectar la conexión existente
- Puede modificar la configuración del servicio
Siete, método de configuración de firewall firewalld
1. Utilice la herramienta de línea de comandos firewall-cmd. (De uso común)
2. Utilice la herramienta gráfica firewall-config.
3. Escriba el archivo de configuración en / etc / firewalld /.
systemctl iniciar firewalld.service
8. Opciones de comando firewall-cmd más utilizadas
(1) Comandos de uso común
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
--get-zone-of-source=<source> [/<mask>] :显示指定源地址绑定的区域
--zone=<zone> -add-source=<source> [/<mask>] :为指定源地址绑定区域
--zone=<zone> -change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> -remove-source=<source> [/<mask>] :为指定的区域删除绑定的源地址
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-al1 :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有ICMP类型
(2) Gestión regional
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
(3) Gestión de servicios
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-al1
#添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
--runtime-to-permanent :将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
(4) Gestión de puertos
(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048-2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all