Linux防火墙基础（Firewalld命令的使用）

Firewalld概述

Firewalld简介

（1）支持网络区域所定义的网络链接以及接口安全的动态防火墙管理工具。
（2）支持IPv四、IPv6防火墙设置以及以太网桥接
（3）支持服务或应运程序直接添加防火墙规则口
（4）拥有两种配置模式
运行时配置
永久配置

Firewalld和iptables的关系

netfilter

（1）位于linux内核中的包过滤功能体系
（2）称为Linux防火墙的“内核态”

Firewalld/iptables

（1）Centos7默认的管理防火墙规则的工具（Firewalld）
（2）称为linux防火墙的“用户态”

Firewalld和iptables的区别

	Firewalld	iptables
配置文件	/usr/lib/firewalld/、/etc/firewalld/	/etc/sysconfig/iptables
对规则的修改	不须要所有刷新策略，不丢失现行链接	须要所有刷新策略，丢失链接
防火墙类型	动态防火墙（灵活）	静态防火墙

Firewalld网络区域

区域介绍

区域	描述
drop（丢失）	任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络练链接
block（限制）	任何接收的网络链接都被IPv4的icmp-host-prohibited信息和icmp6-adm-prohibited信息所拒绝
public (公共)	在公共区域内使用，不能相信网络内的其余计算机不会对您的计算机形成危害，只能接收通过选取的链接
external (外部)	特别是为路由器启用了假装功能的外部网。您不能信任来自网络的其余计算，不能相信它们不会对您的计算机形成危害，只能接收通过选择的链接
dmz (非军事区)	用于您的非军事区内的电脑，此区域内可公开访问，能够有限地进入您的内部网络，仅仅接收通过选择的链接
work (工做)	用于工做区。您能够基本相信网络内的其余电脑不会危害您的电脑。仅仅接收通过选择的链接用于家庭网络。
home (家庭)	您能够基本信任网络内的其余计算机不会危害您的计算机。仅仅接收通过选择的链接
internal (内部)	用于内部网络。您能够基本上信任网络内的其余计算机不会威胁您的计算机。仅仅接受通过选择的链接
trusted (信任)	可接受全部的网络链接

Firewalld网络区域

区域介绍

（1）区域如同进入主机的安全门，每一个区域都具备不一样限制程度的规则
（2）可使用一我的或多个区域，可是任何一个活跃区域至少须要关联源地址或接口
（3）默认状况下，public区域是默认区域，包含全部接口（网卡）

Firewalld数据处理流程

检查数据来源的源地址
（1）若源地址关联到特定的区域，则执行该区域所指定的规则
（2）若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则。
（3）若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

（1）实时生效，并持续至Firewalld从新启动或从新加载配置
（2）不中断现有链接
（3）不能修改服务配置

永久配置

（1）不当即生效。除非Firewalld从新启动或从新加载配置
（2）中断现有链接
（3）能够修改服务配置

Firewalld-config图形工具

运行时配置/永久配置

从新加载防火墙

更改永久配置并生效

关联网卡到指定区域

“区域”选项卡

（1）“服务” 子选项卡
（2）“端口”子选项卡
（3）“协议”子选项卡
（4）“源端口”子选项卡
（5）“假装”子选项卡
（6）“端口转发”子选项卡
（7）“ICMP过滤器”子选项卡

“服务”选项卡

（1）“模块”子选项卡
（2）“目标地址”子选项卡

修改默认区域

链接状态

Firewalld-cmd命令行工具

1）启动、中止、查看 firewalld 服务

启动 firewalld

[root@localhost ~]# systemctl start firewalld

设置 firewalld 为开机自启动

[root@localhost ~]# systemctl enable firewalld

若是 firewalld 正在运行，经过 systemctl status firewalld 或 firewall-cmd 命令 能够查看其运行状态

[root@localhost ~]# systemctl status firewalld

2）获取预约义信息

firewall-cmd 预约义信息主要包括三种：可用的区域、可用的服务以及可用的 ICMP 阻
塞类型
显示预约义的区域

[root@localhost ~]# firewall-cmd --get-zones

显示预约义的服务

[root@localhost ~]# firewall-cmd --get-services

显示预约义的 ICMP 类型

[root@localhost ~]# firewall-cmd --get-icmptypes

firewall-cmd --get-icmptypes 命令的执行结果中各类阻塞类型的含义分别以下所示。
（1） destination-unreachable：目的地址不可达。
（2）echo-reply：应答回应（pong）。
（3） parameter-problem：参数问题。
（4） redirect：从新定向。
（5） router-advertisement：路由器通告。
（6） router-solicitation：路由器征寻。
（7）source-quench：源端抑制。
（8） time-exceeded：超时。
（9） timestamp-reply：时间戳应答回应。
（10） timestamp-request：时间戳请求。

3）区域管理

使用 firewall-cmd 命令能够实现获取和管理区域，为指定区域绑定网络接口等功能
（1）--get-default-zone 显示网络链接或接口的默认区域
（2）--set-default-zone=<zone> 设置网络链接或接口的默认区域
（3）--get-active-zones 显示已激活的全部区域
（4）--get-zone-of-interface=<interface> 显示指定接口绑定的区域
（5）--zone=<zone> --add-interface=<interface> 为指定接口绑定区域
（6）--zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口
（7）--zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口
（8）--list-all-zones 显示全部区域及其规则
（9）[--zone=<zone>] --list-all 显示全部指定区域的全部规则，省略--zone=<zone>时表示仅 对默认区域操做
1）显示当前系统中的默认区域。

[root@localhost ~]# firewall-cmd --get-default-zone

2）显示默认区域的全部规则

[root@localhost ~]# firewall-cmd --list-all

3）显示网络接口 ens33 对应区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

4）将网络接口 ens33 对应区域更改成 internal 区域。

[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33

5）显示全部激活区域。

[root@localhost ~]# firewall-cmd --get-active-zones

4）服务管理

为 了 方 便 管 理 ， firewalld 预 先 定 义 了 很 多 服 务 ， 存 放 在 /usr/lib/firewalld/services/ 目录中，服务经过单个的 XML 配置文件来指定。这些配置文件则按如下格式命名：service-name.xml，每一个文件对应一项具体的网络服务，如 ssh 服
务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了 70 多种服务供咱们使用，对于每一个网络区域，都可以配置允 许访问的服务。当默认提供的服务不适用或者须要自定义某项服务的端口时，咱们须要将 service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具备如下优势。
（1） 经过服务名字来管理规则更加人性化。
（2） 经过服务来组织端口分组的模式更加高效，若是一个服务使用了若干个网络端口，则服 务的配置文件就至关于提供了到这些端口的规则管理的批量操做快捷方式。
一、[--zone=<zone>] --list-services 显示指定区域内容许访问的全部服务
二、[--zone=<zone>] --add-service=<service> 为指定区域设置容许访问的某项服务
三、[--zone=<zone>] --remove-service=<service> 删除指定区域已设置的容许访问的某项服务
四、[--zone=<zone>] --list-ports 显示指定区域内容许访问的全部端口号
五、[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>
为指定区域设置容许访问的某个/某段端口号 （包括协议名）
六、[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>
删除指定区域已设置的容许访问的端口号（包括 协议名）
七、[--zone=<zone>] --list-icmp-blocks 显示指定区域内拒绝访问的全部 ICMP 类型
八、[--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型
九、[--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类 型，省略--zone=<zone>时表示对默认区域操做
（1）为默认区域设置容许访问的服务。
显示默认区域内容许访问的全部服务：

[root@localhost ~]# firewall-cmd --list-services

设置默认区域容许访问 http 服务success

[root@localhost ~]# firewall-cmd --add-service=http

设置默认区域容许访问 https 服务

[root@localhost ~]#firewall-cmd --add-service=https

（2）为 internal 区域设置容许访问的服务。
设置 internal 区域容许访问 mysql 服务

[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql

设置 internal 区域不容许访问 samba-client 服务

[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client

显示 internal 区域内容许访问的全部服务

[root@localhost ~]# firewall-cmd --zone=internal --list-services

5）端口管理

在进行服务配置时，预约义的网络服务可使用服务名配置，服务所涉及的端口就会自
动打开。可是，对于非预约义的服务只能手动为指定的区域添加端口。例如，执行如下操做
便可实如今 internal 区域打开 443/TCP 端口。

[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp

若想实如今 internal 区域禁止 443/TCP 端口访问，可执行如下命令。

[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp

6）两种配置模式

前面提到 firewall-cmd 命令工具备两种配置模式：运行时模式（Runtime mode）表示 当前内存中运行的防火墙配置，在系统或 firewalld 服务重启、中止时配置将失效；永久模 式（Permanent mode）表示重启防火墙或从新加载防火墙时的规则配置，是永久存储在配置 文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
（1） --reload：从新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。
（2） --permanent：带有此选项的命令用于设置永久性规则，这些规则只有在从新启动 firewalld 或从新加载防火墙规则时才会生效；若不带有此选项，表示用于设置运行时 规则。
（3）--runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性

/etc/firewalld/中的配置文件

（1）Firewalld会优先使用/etc/fireewalld/中的配置，若是不存在配置作文件，则使用/usr/bin/firewalld/中的配置（2）/etc/firewalld/：用户自定义配置文件，须要时可经过从/usr/bin/firewalld/中拷贝（3）/usr/bin/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置