• 生活的道路一旦选定,就要勇敢地走到底,决不回头。——左拉
  • 坚强的信心,能使平凡的人做出惊人的事业。——马尔顿
  • 人不可有傲气,但不可无傲骨。 --徐悲鸿
  • 古之立大志者,不惟有超世之才,亦必有坚韧不拔之志。 --苏轼
  • 时间像海绵里的水,只要你愿意挤,总还是有的。 --鲁迅

firewalld防火墙

Linux zkinogg 2年前 (2020-07-10) 212次浏览 0个评论

firewalld防火墙

防火墙安全概述

在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Firewalld。
需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部流出的流量默认会被允许。

firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。

二、防火墙使用区域管理

1.防火墙区域

区域选项 默认规则策略
trusted 允许所有的数据包流入流出
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关
trusted: 白名单
public:默认
drop:黑名单

2.防火墙参数

参数 作用
zone区域相关指令
–get-default-zone 获取默认的区域名称
–set-default-zone=<区域名称> 设置默认的区域,使其永久生效
–get-active-zones 显示当前正在使用的区域与网卡名称
–get-zones 显示总共可用的区域
services服务相关命令
–get-services 列出服务列表中所有可管理的服务
–add-service= 设置默认区域允许该填加服务的流量
–remove-service= 设置默认区域不允许该删除服务的流量
Port端口相关指令
–add-port=<端口号/协议> 设置默认区域允许该填加端口的流量
–remove-port=<端口号/协议> 置默认区域不允许该删除端口的流量
Interface网站相关指令
–add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称> 将某个网卡与区域进行关联
其他相关指令
–list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
–reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则

##

三、防火墙配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,需要注意firewalld的规则分为两种状态:

runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。
permanent