記事ディレクトリ
1つは、ファイアウォールの概要
-
ファイアウォールドファイアウォールは、Centos7システムのデフォルトのファイアウォール管理ツールであり、以前のiptablesファイアウォールに置き換わるものです。また、ネットワークレイヤーでも機能し、パケットフィルタリングファイアウォールに属します。
-
Firewalldとiptablesはどちらも、ファイアウォールのさまざまなルール機能を定義するために(ユーザーモードに属する)ファイアウォールを管理するために使用されるツールであり、内部構造は、パケットフィルタリングファイアウォール機能を実現するために(カーネルモードに属する)netfilterネットワークフィルタリングサブシステムを指します。
-
Firewalldは、ネットワーク接続とネットワークゾーンによって定義されたインターフェイスセキュリティレベルをサポートする動的なファイアウォール管理ツールを提供します。IPV4、IPv6ファイアウォール設定、およびイーサネットブリッジ(クラウドコンピューティングなどの一部の高度なサービスで使用される場合があります)をサポートし、2つの構成モードがあります。ランタイム構成と永続構成
2つ目は、firewalldとiptablesの違いです。
1.
iptablesは主に、ネットワークのセキュリティを決定するためのルールを設定するためのインターフェイスに基づいています。
Firewalldはゾーンに基づいており、ネットワークのセキュリティを確保するために、ゾーンごとに異なるルールが設定されています。ハードウェアファイアウォールの設定と同様です。
2.
iptablesの店舗構成で、/ etc / sysconfig / iptables内
firewalldは、各種内の/ etc / firewalld /(負荷優先)XMLファイルと/ usr / libに/ firewalld /(デフォルトの設定ファイル)での構成。
3.
iptablesを使用した個々の変更は、すべての古いルールをクリアし、/ etc / sysconfig / iptablesからすべての新しいルールを読み取ることを意味します。
Firewalldを使用しても、新しいルールは作成されません。ルールの違いを実行するだけです。したがって、firewalldは、現在の接続を失うことなく、実行時に設定を変更できます。
4.
iptablesのファイアウォールのタイプである静的ファイアウォール
firewalldファイアウォールタイプが動的ファイアウォールであります
三、ファイアウォールエリアの概念
管理を簡素化するために、firewalldはすべてのネットワークトラフィックを複数のゾーンに分割します。次に、データパケットの送信元IPアドレスまたは着信ネットワークインターフェイスおよびその他の条件に従って、トラフィックは対応するエリアに転送されます。各エリアは、開くまたは閉じるポートとサービスのリストを定義します。
4つのファイアウォールで事前定義された9つの領域
| 範囲 | 効果 |
|---|---|
| 信頼できる(トラストゾーン) | すべての着信トラフィックを許可する(通常はイントラネットで使用されます) |
| パブリック(パブリックエリア) | sshまたはdhcpv6-clientの事前定義されたサービスに一致する着信トラフィックは許可され、残りは拒否されます。これは、新しく追加されたネットワークインターフェイスのデフォルト領域です。 |
| 外部(外部領域) | sshの事前定義されたサービスに一致する着信トラフィックを許可し、残りを拒否します。このエリアを介して転送されるIPV4発信トラフィックは、デフォルトでマスカレードされます。これは、ルーターに対してマスカレードが有効になっている外部ネットワークに使用できます。 |
| ホーム(ファミリーエリア) | ssh、ipp-client、mdns、samba-client、またはdhcpv6-clientの事前定義されたサービスに一致する着信トラフィックを許可し、残りを拒否します |
| 内部(内部領域) | デフォルト値はホームエリアと同じです。 |
| 仕事(作業エリア) | ssh。ipp-client。dhcpv6-clientの事前定義されたサービスに一致する着信トラフィックは許可され、残りは拒否されます。 |
| dmz(孤立した領域は非軍事化された領域とも呼ばれます) | sshの事前定義されたサービスに一致する着信トラフィックを許可し、残りを拒否します。 |
| ブロック(制限区域) | すべての着信トラフィックを拒否する |
| ドロップ(ドロップエリア) | すべての着信トラフィックは破棄され、ICMPを含むエラー応答は生成されません。 |
最終的に、エリアのセキュリティは、このエリアの管理者によって設定されたルールに依存します。
このエリアは、ホストに入るセキュリティドアのようなものです。各エリアには、制限の程度が異なるルールがあり、ルールを満たすトラフィックのみが通過できます。ネットワークサイズに応じて1つ以上のエリアを使用できますが、アクティブなエリアは少なくとも送信元アドレスまたはインターフェイスに関連付ける必要があります。
デフォルトでは、パブリックエリアは、すべてのインターフェイス(ネットワークカード)を含むデフォルトエリアです。
5、ファイアウォールで保護されたデータ処理プロセス
データソースの送信元アドレスを確認してください
- 送信元アドレスが特定のエリアに関連付けられている場合、そのエリアで指定されたルールが実行されます
- 送信元アドレスが特定のエリアに関連付けられていない場合は、着信ネットワークインターフェイスのエリアを使用して、エリアで指定されたルールを実行します
- ネットワークインターフェイスが特定のエリアに関連付けられていない場合は、デフォルトエリアを使用して、そのエリアで指定されたルールを実行します(一般的に、デフォルトエリアのルールはすべてを拒否します)
6、ファイアウォールで保護されたファイアウォールの構成方法
1.ランタイム構成
- リアルタイムで有効になり、Firewalldが構成を再起動またはリロードするまで続行します
- 既存の接続を中断しません
- サービス構成を変更できません
2.永続的な構成
- Firewalldが構成を再起動または再ロードしない限り、すぐには有効になりません
- 既存の接続を切断します
- サービス構成を変更できます
7つのファイアウォール付きファイアウォール構成方法
1.firewall-cmdコマンドラインツールを使用します。(一般的に使用されます)
2。firewall-configグラフィカルツールを使用します。
3.構成ファイルを/ etc / firewalld /に書き込みます。
systemctl startfirewalld.service
8.一般的に使用されるfirewall-cmdコマンドオプション
(1)一般的なコマンド
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
--get-zone-of-source=<source> [/<mask>] :显示指定源地址绑定的区域
--zone=<zone> -add-source=<source> [/<mask>] :为指定源地址绑定区域
--zone=<zone> -change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> -remove-source=<source> [/<mask>] :为指定的区域删除绑定的源地址
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-al1 :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有ICMP类型
(2)地域管理
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
(3)サービス管理
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-al1
#添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
--runtime-to-permanent :将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
(4)ポート管理
(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048-2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all