TIP:
linux7.0比6.0多了個firewalld工具,大大簡化了操作
7.0既可以用iptables和firewalld,firewalld效率更高、更簡便
一、firewalld概述
1、支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火牆管理工具
2、支持IPv4、IPv6防火牆
3、支持服務或應用程序直接添加防火牆規則接口
4、擁有兩種配置模式
(1)運行時配置
(2)永久配置
二、firewalld和iptables的關係
1、netfilter
(1)位於Linux內核中的包過濾功能體系
(2)稱爲Linux防火牆的“內核態”
2、firewalld(圖形化)/iptables(字符界面)
(1)CentOS7默認的管理防火牆規則的工具(Firewalld)
(2)稱爲Linux防火牆的“用戶態”。如下圖中的iptables(command)
firewalld與iptables區別
firewalld網絡區域
區域介紹
僞裝功能:NAT地址轉換,將ip地址轉換成外網能識別的ip地址,存放在地址存放表中。一個私網轉換成一個公網地址
PAT地址轉換:多個私網轉換成一個公網地址,端口對端口。安全,節約緩解了ip地址的使用資源。如下所示:
公共區域就是默認區域,數據先經過公共區域,若被拒絕,則不會經過其它區域。
iptables : SNAT(源地址轉換) DNAT(目標地址轉換)
dmz(裏面放的郵箱等無關緊要的東西)可以讓安全級別低的客戶訪問,及被襲擊
firewalld防火牆的配置方法
一般而言,都是配置永久配置(建議錯開業務高峯期配置)
firewall-config圖形工具
firewall-cmd命令行工具
/etc/firewalld/中的配置文件
(1)firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件,則通過從/usr/lib/firewalld/中拷貝
(2)/etc/firewalld/:用戶自定義配置文件,需要時可通過從/usr/lib/firewalld/中拷貝
(3)/usr/lib/firewalld/:默認配置文件,不建議修改,若恢復至默認配置,可直接刪除/etc/lib/firewalld/中的配置
1.運行時配置/永久配置
配置永久防火牆務必選擇將runtime設定爲永久配置
2.重新加載防火牆
3.關聯網卡到指定區域
4.修改默認區域
5.連接狀態
6.“區域”選項卡:
服務、端口、協議、源端口、僞裝、端口轉發、ICMO過濾器
7.“服務”選項卡:
模塊、目標地址