Firewalld防火牆基礎``
Firewalld概述
Firewalld簡介
支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火牆管理工具
支持IPv4、IPv6防火牆設置以及以太網橋
支持服務或應用程序直接添加防火牆規則接口
擁有兩種配置模式
運行時配置
永久配置
Firewalld和iptables的關係
netfilter
位於Linux內核中的包過濾功能體系
稱爲Linux防火牆的“內核態”
Firewalld/iptables
CentOS7默認的管理防火牆規則的工具
稱爲Linux防火牆的“用戶態”
Firewalld和iptables的區別
Firewalld網絡區域
區域介紹
其中在不對網卡調整時。public爲默認模式
區域如同進入主機的安全門,每個區域都具有不同限制程度的規則
可以使用一個或多個區域,但是任何一個活躍區域至少需要關聯源地址或接口
默認情況下,public區域是默認區域,包含所有接口(網卡)
Firewalld數據處理流程
檢查數據來源的源地址
若源地址關聯到特定的區域,則執行該區域所指定的規則
若源地址未關聯到特定的區域,則使用傳入網絡接口的區域並執行該區域所指定的規則
若網絡接口未關聯到特定的區域,則使用默認區域並執行該區域所指定的規則
Firewalld防火牆的配置方法
運行時配置
實時生效,並持續至Firewalld重新啓動或重新加載配置
不中斷現有連接
不能修改服務配置
永久配置
不立即生效,除非Firewalld重新啓動或重新加載配置
終端現有連接
可以修改服務配置
Firewall-config圖形工具
運行時配置/永久配置
重新加載防火牆
更改永久配置並生效(關聯網卡到指定區域)
修改默認區域
連接狀態
區域選項卡內容
1.“服務” 子選項卡
2.“端口”子選項卡
3.“協議”子選項卡
4.“源端口”子選項卡
5.“僞裝”子選項卡
6.“端口轉發”子選項卡
7.“ICMP過濾器”子選項卡服務選項卡
1.“模塊”子選項卡
2.“目標地址”子選項卡
Firewalld防火牆案例
需求描述:
禁止主機ping服務器
只允許192.168.131.129主機訪問SSH服務
允許所有主機訪問Apache服務
在終端使用命令:firewall-config 進入firewall的圖形化界面
只允許192.168.131.129訪問SSH服務的設置
在區域的選項卡中選擇work,再選擇子選項卡“來源”,在其中添加允許訪問SSH服務主機的IP地址192.168.131.129
在區域的選項卡中選擇work,勾選ssh與dhcp並去除dhcpv6-clicent,之後再public(公共區域)中去除ssh選項
允許所有主機訪問Apache服務配置
在區域的選項卡中選擇public(公共區域),勾選dhcp並去除dhcpv6-clicent
禁止主機ping服務器配置
在work的ICMP過濾器選項中勾選echo-request
在public(公共區域)的ICMP過濾器選項中勾選echo-reply
