Firewalld
- Um, visão geral do firewalld
- Dois, a diferença entre firewalld e iptables
- Três, o conceito de área firewalld
- Quatro, fluxo de processamento de dados firewalld
- Cinco, método de configuração de firewall firewalld
- Seis, opções de comando comuns do firewalld
-
- 6.1 Gestão da área
- 6.2 Gestão de Serviços
-
- 6.2.1 Ver todos os serviços permitidos na área padrão
- 6.2.2 Adicionar serviço httpd à área pública
- 6.2.3 Ver as regras configuradas na área pública
- 6.2.4 Excluir serviço httpd na área pública
- 6.2.5 Adicionar serviços httpd (80) e https (443) à área padrão ao mesmo tempo e configurá-los para entrar em vigor permanentemente
- 6.3 Gestão Portuária
- 6.4 Outras opções comuns de comando firewall-cmd
Um, visão geral do firewalld
- O firewall firewalld é a ferramenta de gerenciamento de firewall padrão do sistema Centos7. Ele substitui o firewall iptables anterior. Também funciona na camada de rede e pertence aFirewall de filtragem de pacotes。
- Firewalld e iptables são ferramentas usadas para gerenciar firewalls (pertencentes ao modo de usuário) para definir várias regras e funções do firewall, e a estrutura interna aponta para o subsistema de filtragem de rede netfilter (pertencente ao modo kernel) para realizar a função de firewall de filtragem de pacotes.
- firewalld fornece uma ferramenta de gerenciamento de firewall dinâmico que suporta conexões de rede e níveis de segurança de interface definidos por zonas de rede. Ele suporta configurações de firewall IPv4 e IPv6 e pontes Ethernet (pode ser usado em alguns serviços avançados, como computação em nuvem) e tem dois modos de configuração:Configuração de tempo de execuçãoversusConfiguração permanente。
Dois, a diferença entre firewalld e iptables
①
- O iptables é baseado principalmente na interface para definir regras para determinar a segurança da rede.
- Firewalld é baseado em zonas e regras diferentes são definidas de acordo com zonas diferentes para garantir a segurança da rede. Semelhante à configuração do firewall de hardware.
②
- iptables armazena a configuração em / etc / sysconfig / iptables.
- firewalld armazena a configuração em vários arquivos XML em / etc / firewalld / (prioridade de carregamento) e / usr / lib / firewalld / (arquivo de configuração padrão).
③
- Cada mudança individual usando iptables significa limpar todas as regras antigas e ler todas as novas regras de / etc / sysconfig / iptables.
- Usar o firewalld não criará novas regras, apenas execute as diferenças nas regras. Portanto, firewalld pode alterar as configurações durante o tempo de execução sem perder a conexão atual.
④
-
O tipo de firewall iptables é um firewall estático
-
firewalld O tipo de firewall é firewall dinâmico
\ Firewalld iptables Arquivo de configuração / usr / lib / firewalld / & / etc / firewalld / etc / sysconfig / iptables Modificações nas regras Não há necessidade de atualizar todas as estratégias, sem perda de conexão atual Precisa atualizar todas as políticas, perder a conexão Tipo de firewall Firewall dinâmico Firewall estático
Três, o conceito de área firewalld
Para simplificar o gerenciamento, o firewalld divide todo o tráfego de rede em várias zonas. Então, de acordo com o endereço IP de origem do pacote de dados ou da interface de rede de entrada e outras condições, o tráfego é transferido para a área correspondente. Cada área define uma lista de portas e serviços que abre ou fecha. (== == é uma área comum)
Firewalld firewall 9 áreas predefinidas:
①trusted (zona confiável): permite todo o tráfego de entrada.
②public (área pública): permite que o tráfego de entrada corresponda aos serviços predefinidos do cliente ssh ou dhcpv6 e rejeite o restante. É a área padrão para interfaces de rede recém-adicionadas.
③external (zona externa): permite que o tráfego de entrada corresponda ao serviço predefinido ssh e rejeite o resto.
Por padrão, o tráfego IPv4 de saída que será encaminhado por esta área será mascarado, o que pode ser usado para redes externas com mascaramento habilitado para roteadores.
④home (zona inicial): permite que o tráfego de entrada corresponda aos serviços predefinidos de ssh, ipp-client, mdns, samba-client ou dhcpv6-client e rejeite o resto.
⑤internal (zona interna): O valor padrão é o mesmo da zona inicial
⑥work (área de trabalho): permite que o tráfego de entrada corresponda aos serviços predefinidos de ssh, ipp-client, dhcpv6-client e rejeite o resto.
⑦dmz (área isolada também chamada de área desmilitarizada): permite que o tráfego de entrada corresponda ao serviço predefinido do ssh e rejeite o resto.
⑧bloquear (área restrita): Negar todo o tráfego de entrada.
⑨drop (área de drop): descarta todo o tráfego de entrada e não gera uma resposta de erro incluindo ICMP.
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)
Quatro, fluxo de processamento de dados firewalld
Para pacotes de dados que entram no sistema, o firewalld encaminhará o tráfego de dados para as regras de firewall da área correspondente com base no endereço IP de origem do pacote de dados ou na interface de rede de entrada e outras condições. Correspondente ao pacote de dados que entra no sistema, a primeira coisa a verificar é o seu endereço de origem
Regras do firewalld para verificar o endereço de origem dos pacotes:
- Se o endereço de origem estiver associado a uma área específica (ou seja, houver conflito entre o endereço de origem ou a área vinculada à interface), as regras estabelecidas pela área são executadas.
- Se o endereço de origem não estiver associado a uma área específica (ou seja, não há conflito entre o endereço de origem ou a área vinculada à interface), a área da interface de rede de entrada é usada e as regras estabelecidas pela área são executadas.
- Se a interface de rede também não estiver associada a uma área específica (ou seja, nem o endereço de origem nem a interface estão vinculados a uma área específica), a área padrão é usada e as regras estabelecidas pela área são executadas.
Cinco, método de configuração de firewall firewalld
- Use a ferramenta de linha de comando firewall-cmd
- Use a ferramenta gráfica de configuração de firewall
- Grave o arquivo de configuração em / etc / firewalld /
Seis, opções de comando comuns do firewalld
6.1 Gestão da área
6.1.1 Exibir a área padrão do sistema atual
firewall-cmd --get-default-zone
6.1.2 Mostrar todas as regras na área padrão
firewall-cmd --list-all
6.1.3 Exibir a área atualmente em uso e sua interface de placa de rede correspondente
firewall-cmd --get-active-zones
6.1.4 Definir área padrão
firewall-cmd --set-default-zone = home
6.2 Gestão de Serviços
6.2.1 Ver todos os serviços permitidos na área padrão
firewall-cmd --list-service
6.2.2 Adicionar serviço httpd à área pública
firewall-cmd --add-service = http --zone = public
6.2.3 Ver as regras configuradas na área pública
firewall-cmd --list-all --zone = public
6.2.4 Excluir serviço httpd na área pública
firewall-cmd --remove-service = http --zone = public
6.2.5 Adicionar serviços httpd (80) e https (443) à área padrão ao mesmo tempo e configurá-los para entrar em vigor permanentemente
firewall-cmd --add-service = http --add-service = https
--permanent
firewall-cmd --reload firewall-cmd --list-all
添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效
firewall-cmd --runtime-to-permanent
将当前的运行时配置写入规则配置文件中,使之成为永久性配置
6.3 Gestão Portuária
6.3.1 Permitir a porta TCP 443 para a zona interna
firewall-cmd --zone = interno --add-port = 443 / tcp
firewall-cmd --list-all --zone = interno
6.3.2 Remova a porta TCP 443 da área interna
firewall-cmd --zone = interno --remove-port = 443 / tcp
firewall-cmd --list-all --zone = interno
6.3.3 Permitir portas UDP 2048 ~ 2050 para a zona padrão
firewall-cmd --add-port = 2048-2050 / udp
firewall-cmd --list-all
6.4 Outras opções comuns de comando firewall-cmd
firewall-cmd --get-zones #显示当前默认区域
firewall-cmd --set-default-zone=<zone> #设置默认区域
firewall-cmd --get-active-zones #显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-zones #显示所有可用的区域
firewall-cmd --get-zone-of-interface=<interface> #显示指定接口绑定的区域
firewall-cmd --zone=<zone> --add-interface=<interface> #为指定接口绑定区域
firewall-cmd --zone=<zone> --change-interface=<interface> #为指定的区域更改绑定的网络接口
firewall-cmd --zone=<zone> --remove-interface=<interface> #为指定的区域删除绑定的网络接口
firewall-cmd --get-zone-of-source=<source> [/<mask>] #显示指定源地址绑定的区域
firewall-cmd --zone=<zone> -add-source=<source> [/<mask>] #为指定源地址绑定区域
firewall-cmd --zone=<zone> -change-source=<source> [/<mask>] #为指定的区域更改绑定的源地址
firewall-cmd --zone=<zone> -remove-source=<source> [/<mask>] #为指定的区域删除绑定的源地址
firewall-cmd --list-all-zones #显示所有区域及其规则
firewall-cmd --list-all #显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
firewall-cmd --list-services #显示指定区域内允许访问的所有服务
firewall-cmd --add-service=<service> #为指定区域设置允许访问的某项服务
firewall-cmd --remove-service=<service> #删除指定区域已设置的允许访问的某项服务
firewall-cmd --list-ports #显示指定区域内允许访问的所有端口号
firewall-cmd --add-port=<portid> [-<portid>1/<protocol> #为指定区域设置允许访问的某个/某段端口号(包括协议名)
firewall-cmd --remove-port=<portid> [-<portid>j/<protocol> #删除指定区域已设置的允许访问的端口号(包括协议名)
firewall-cmd --list-icmp-blocks #显示指定区域内拒绝访问的所有ICMP 类型
firewall-cmd --add-icmp-block=<icmptype> #为指定区域设置拒绝访问的某项ICMP类型
firewall-cmd --remove-icmp-block=<icmptype> #删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes #显示所有ICMP 类型