详述CentOS 7中Firewalld防火墙基础

Firewalld概述

Firewalld简介

• 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具

• 支持IPv四、IPv6防火 墙设置以及以太网桥

• 支持服务或应用程序直接添加防火墙规则接口

• 拥有两种配置模式

  运行时配置

  永久配置

Firewalld和iptables的关系

netfilter

• netfilter是Linux2.4.x以后新一代的Linux防火墙机制，是linux内核的一个子系统

• netfilter采用模块化设计，具备良好的可扩充性

• 位于Linux内核中的包过滤功能体系
• 称为Linux防火墙的“内核态”

Firewalld/iptables

• CentOS7默认的管理防火墙规则的工具(Firewalld)
• 称为Linux防火墙的“用户态”

Firewalld和iptables的区别

-	Firewalld	iptables
配置文件	/usr/lib/firewalld<br/>/etc/firewalld/	/etc/sysconfig/iptables
对规则的修改	不须要所有刷新策略，不丢失现行链接	须要所有刷新策略，丢失链接
静态防火墙	动态防火墙(灵活)	静态防火墙

Firewalld网络区域

区域介绍

区域	描述
drop（丢弃）	任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络链接
block（限制）	任何接收的网络链接都被lPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public（公共）	在公共区域内使用，不能相信网络内的其余计算机不会对您的计算机形成危害，只能接收通过选取的链接
external（外部）	特别是为路由器启用了假装功能的外部网。您不能信任来自网络的其余计算，不能相信它们不会对您的计算机形成危害，只能接收通过选择的链接
dmz（非军事区）	用于您的非军事区内的电脑，此区域内可公开访问，能够有限地进入您的内部网络，仅仅接收通过选择的链接
work（工做）	用于工做区。您能够基本相信网络内的其余电脑不会危害您的电脑。仅仅接收通过选择的链接
home（家庭）	用于家庭网络。您能够基本信任网络内的其余计算机不会危害您的计算机。仅仅接收通过选择的链接
internal（内部）	用于内部网络。您能够基本上信任网络内的其余计算机不会威胁您的计算机。仅仅接受通过选择的链接
trusted（信任）	可接受全部的网络链接

Firewalld数据处理流程

• 检查数据来源的源地址
  • 若源地址关联到特定的区域，则执行该区域所指定的规则
  • 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

• 实时生效，并持续至Firewalld从新启动或从新加载配置
• 不中断现有链接
• 不能修改服务配置

永久配置

• 不当即生效，除非Firewalld从新启动或从新加载配置
• 中断现有链接
• 能够修改服务配置

Firewall-config图形工具

• 运行时配置/永久配置

• 从新加载防火墙
  • 更改永久配置并生效

• 关联网卡到指定区域

• 修改默认区域

• 链接状态

• “区域”选项卡
  • “服务”子选项卡
  • “端口”子选项卡
  • “协议”子选项卡
  • “源端口”子选项卡,
  • “假装”子选项卡
  • “端口转发”子选项卡
  • "ICMP过滤器”子选项卡

• "服务”选项卡
  • “模块”子选项卡
  • “目标地址”子选项卡
    

Firewall-cmd命令行工具

• 启动、中止、查看 firewalld 服务

  systemctl start firewalld      //启动 firewalld
  systemctl enable firewalld     //设置 firewalld 为开机自启动
  systemctl status firewalld     //查看 firewalld 状态信息
  firewall-cmd --state           //查看 firewalld 状态信息
  systemctl stop firewalld       //中止 firewalld 
  systemctl disable firewalld    //设置 firewalld 开机不自启动

• 获取预约义信息

  • firewall-cmd 预约义信息主要包括三种：可用的区域、可用的服务以及可用的 ICMP 阻塞类型

  firewall-cmd --get-zones      //显示预约义的区域 
  firewall-cmd --get-service    //显示预约义的服务
  firewall-cmd --get-icmptypes  //显示预约义的 ICMP 类型

  • firewall-cmd --get-icmptypes 命令的执行结果中各类阻塞类型的含义

  destination-unreachable：目的地址不可达。

  echo-reply：应答回应（pong）。

  parameter-problem：参数问题。

  redirect：从新定向。

  router-advertisement：路由器通告。

  router-solicitation：路由器征寻。

  source-quench：源端抑制。

  time-exceeded：超时。

  timestamp-reply：时间戳应答回应。

  timestamp-request：时间戳请求。

• 区域管理

  • 使用 firewall-cmd 命令能够实现获取和管理区域，为指定区域绑定网络接口等功能。

选项	说明
--get -default -zone	显示网络链接或接口的默认区域
--set -default -zone=<zone>	设置网络链接或接口的默认区域
--get -active -zones	显示已激活的全部区域
--get- zone -of -interface=<interface>	显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface>	为指定接口绑定区域
--zone=<zone> --change-interface=<interface>	为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface>	为指定的区域删除绑定的网络接口
--list-all-zones	显示全部区域及其规则
[--zone=<zone>] --list-a	显示全部指定区域的全部规则，省略--zone=<zone>时表示仅

• 服务管理
  • firewalld预先定义了 很 多 服 务 ，存放在/usr/lib/firewalld/services/ 目录中，服务经过单个的 XML 配置文件来指定，这些配置文件则按如下格式命名：service-name.xml，每一个文件对应一项具体的网络服务，当默认提供的服务不适用或者须要自定义某项服务的端口时，咱们须要将 service配置文件放置在 /etc/firewalld/services/ 目录中。service 配置优势：经过服务名字来管理规则更加人性化、经过服务来组织端口分组的模式更加高效，若是一个服务使用了若干个网络端口，则服 务的配置文件就至关于提供了到这些端口的规则管理的批量操做快捷方式。
  • firewall-cmd 命令区域中服务管理的经常使用选项说明：

选项	说明
[--zone=<zone>] --list-services	显示指定区域内容许访问的全部服务
[--zone=<zone>] --add-service=<service>	为指定区域设置容许访问的某项服务
[--zone=<zone>] --remove-service=<service>	删除指定区域已设置的容许访问的某项服务
[--zone=<zone>] --list-ports	显示指定区域内容许访问的全部端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>	为指定区域设置容许访问的某个/某段端口号 （包括协议名）
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>	删除指定区域已设置的容许访问的端口号（包括协议名）
[--zone=<zone>] --list-icmp-blocks	显示指定区域内拒绝访问的全部 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype>	为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype>	删除指定区域已设置的拒绝访问的某项 ICMP 类 型，省略--zone=<zone>时表示对默认区域操做

• 端口管理

  • 在进行服务配置时，预约义的网络服务能够使用服务名配置，服务所涉及的端口就会自 动打开。可是，对于非预约义的服务只能手动为指定的区域添加端口。

  firewall-cmd --zone=internal --add-port=443/tcp      //再internal区域打开443端口
  firewall-cmd --zone=internal --remove-port=443/tcp   //再internal区域禁用443端口

• 两种配置模式
  • firewall-cmd 命令工具备两种配置模式：运行时模式（Runtime mode）表示 当前内存中运行的防火墙配置，在系统或 firewalld 服务重启、中止时配置将失效、永久模 式（Permanent mode）表示重启防火墙或从新加载防火墙时的规则配置，是永久存储在配置 文件中的。
  • firewall-cmd 命令工具与配置模式相关的选项有三个：

选项	说明
--reload	从新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置
--permanent	带有此选项的命令用于设置永久性规则，这些规则只有在从新启动 firewalld 或从新加载防火墙规则时才会生效；若不带有此选项，表示用于设置运行时规则
--runtime-to-permanent	将当前的运行时配置写入规则配置文件中，使之成为永久性

/etc/firewalld/中的配置文件

• Firewalld会优先使用/etc/firewalld/中的配置，若是不存在配置文件，则使用/usr/lib/firewalld/中的配置
• /etc/firewalld/：用户自定义配置文件，须要时能够经过从/usr/lib/firewalld/中拷贝
• /usr/lib/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置