Firewalld防火墙基础

Firewalld防火墙基础``

Firewalld概述

Firewalld简介

支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具

支持IPv四、IPv6防火墙设置以及以太网桥

支持服务或应用程序直接添加防火墙规则接口

拥有两种配置模式

​ 运行时配置

​ 永久配置

Firewalld和iptables的关系

netfilter

位于Linux内核中的包过滤功能体系

称为Linux防火墙的“内核态”

Firewalld/iptables

CentOS7默认的管理防火墙规则的工具

称为Linux防火墙的“用户态”

Firewalld和iptables的区别

Firewalld网络区域

区域介绍

其中在不对网卡调整时。public为默认模式

区域如同进入主机的安全门，每一个区域都具备不一样限制程度的规则
能够使用一个或多个区域，可是任何一个活跃区域至少须要关联源地址或接口
默认状况下，public区域是默认区域，包含全部接口（网卡）

Firewalld数据处理流程

检查数据来源的源地址
若源地址关联到特定的区域，则执行该区域所指定的规则
若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

实时生效，并持续至Firewalld从新启动或从新加载配置
不中断现有链接
不能修改服务配置

永久配置

不当即生效，除非Firewalld从新启动或从新加载配置
终端现有链接
能够修改服务配置

Firewall-config图形工具

运行时配置/永久配置
从新加载防火墙
更改永久配置并生效（关联网卡到指定区域）
修改默认区域
链接状态

区域选项卡内容
1.“服务” 子选项卡
2.“端口”子选项卡
3.“协议”子选项卡
4.“源端口”子选项卡
5.“假装”子选项卡
6.“端口转发”子选项卡
7.“ICMP过滤器”子选项卡

服务选项卡
1.“模块”子选项卡
2.“目标地址”子选项卡

Firewalld防火墙案例

需求描述：
禁止主机ping服务器
只容许192.168.131.129主机访问SSH服务
容许全部主机访问Apache服务
在终端使用命令：firewall-config 进入firewall的图形化界面

只容许192.168.131.129访问SSH服务的设置
在区域的选项卡中选择work，再选择子选项卡“来源”，在其中添加容许访问SSH服务主机的IP地址192.168.131.129
在区域的选项卡中选择work，勾选ssh与dhcp并去除dhcpv6-clicent，以后再public（公共区域）中去除ssh选项

容许全部主机访问Apache服务配置
在区域的选项卡中选择public（公共区域），勾选dhcp并去除dhcpv6-clicent

禁止主机ping服务器配置
在work的ICMP过滤器选项中勾选echo-request
在public（公共区域）的ICMP过滤器选项中勾选echo-reply