內容要點:
firewalld概述
firewalld和iptables的關係
firewalld網絡區域
firewalld防火牆的配置方法
firewalld-config圖形工具
一、firewalld概述
firewalld簡介:
支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火牆管理工具
支持IPv4、IPv6防火牆設置以及以太網橋
支持服務或應用程序直接添加防火牆規則接口
擁有兩種配置模式
運行時配置(重啓後則設置不再生效)
永久配置(聲明於配置文件中)
二、Firewalld和iptables的關係
netfilter
位於Linux內核中的包過濾功能體系
稱爲Linux防火牆的“內核態”
Firewalld/iptables
CentOS7默認的管理防火牆規則的工具(Firewalld)
稱爲Linux防火牆的“用戶態”
三、網絡區域
區域介紹(默認區域爲public)
區域如同進入主機的安全門,每個區域都具有不同限制程度的規則
可以使用一個或多個區域,但是任何一一個活躍區域至少需要關聯源地址或接口
默認情況下,public區 域是默認區域,包含所有接口(網卡)
firewalld數據處理流程
檢查數據來源的源地址
若源地址關聯到特定的區域,則執行該區域所指定的規則
若源地址未關聯到特定的區域,則使用傳入網絡接口的區域並執行該區域所指定的規則
若網絡接口未關聯到特定的區域,則使用默認區域並執行該區域所指定的規則
四、firewalld防火牆的配置方法
運行時配置
實時生效,並持續至Firewalld重新啓動或重新加載配置
不中斷現有連接
不能修改服務配置
永久配置
不立即生效,除非Firewalld重新啓動或重新加載配置
中斷現有連接
可以修改服務配置
firewall-config圖形工具
運行時配置/永久配置
重新加載防火牆
更改永久配置並生效
關聯網卡到指定區域
修改默認區域
連接狀態
![image.png]( "1570865479964738.png")
![image.png]( "1570867608133483.png")
![image.png]( "1570867781854284.png")
firewall-cmd命令行工具
1、啓動、停止、查看firewalld服務
在安裝Cent0S7 系統時,會自動安裝firewalld 和圖形化工具firewall-config。 執行以下命令可以啓動firewalld 並設置爲開機自啓動狀態。
[root@localhost ~]# systemctl start firewalld //啓動firemal1d [root@localhost ~]# systemctl enable firewalld //設置firewalld爲開機自啓動 如果firewalld正在運行,通過systemctl status firewalld 或firewall-cmd 命令可以查看其運行狀態。 [root@localhost ~]# systemctl status firewalld [root@1ocalhost ~]# systemct1 stop firewalld //停止firewal1d [root@localhost ~]# systemct1 disable firewalld //設置firewalld開機不自啓動
2、獲取預定義信息
firewall-cmd預定義信息主要包括三種:可用的區域、可用的服務以及可用的ICMP阻塞類型,具體的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //顯示預定義的區域 work drop internal external trusted home dmz public block [root@localhost ~]# firewall-cmd - get service //顯示預定義的服務 RH- Sate1ite-6 amanda-client amanda -k5-client bacul abacula-client cephcephmondhcp dhcpv6 dhcpv6-client dnsdocker- registrx dropbox-lansyncfreeipa-1dap ....... [root@localhost ~]# firewall-cmd --get-icmptypes //顯示預定義的ICMP 類型 destinatian-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solici tati on source- quench time-exceeded timest amp- reply timestamp-request
firewall-cmd --get-icmptypes命令的執行結果中各種阻塞類型的含義分別如下所示。
destination-unreachable:目的地址不可達。 echo-reply: 應答迴應(pong) 。 parameter-problem:參數問題。 redirect: 重新定向。 router- advertisement:路由器通告。 router- solicitation:路由器徵尋。 source-quench:源端抑制。 time-exceeded::超時。 timestamp-reply::時間戳應答迴應。 timestamp-request:時間戳請求。
3、區域管理
4、firewalld端口操作命令
5、firewalld阻塞ICMP操作命令
6、兩種配置模式
--reload: 重新加載防火牆規則並保持狀態信息,即將永久配置應用爲運行時配置。 --permanent::帶有此選項的命令用於設置永久性規則,這些規則只有在重新啓動firewalld或重新加載防火牆規則時纔會生效;若不帶有此選項,表示用於設置運行時規則。 --runtime-to-permanent:將當前的運行時配置寫入規則配置文件中,使之成爲永久性
/etc/firewalld/中的配置文件
Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件。
/etc/firewalld/ :用戶自定義配置文件,需要時可通過從usr/lib/firewalld/中拷貝
/usr/lib/firewalld/:默認配置文件,不建議修改,若恢復至默認配置,可直接刪除/etcfirewalld/中的配置