支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6
防火 墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置
永久配置
netfilter
是Linux2.4.x
之后新一代的Linux
防火墙机制,是linux
内核的一个子系统netfilter
采用模块化设计,具有良好的可扩充性
Linux
内核中的包过滤功能体系Linux
防火墙的“内核态”CentOS7
默认的管理防火墙规则的工具(Firewalld)
Linux
防火墙的“用户态”- | Firewalld | iptables |
---|---|---|
配置文件 | /usr/lib/firewalld <br/>/etc/firewalld/ |
/etc/sysconfig/iptables |
对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失连接 |
静态防火墙 | 动态防火墙(灵活) | 静态防火墙 |
区域 | 描述 |
---|---|
drop (丢弃) |
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接 |
block (限制) |
任何接收的网络连接都被lPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝 |
public (公共) |
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接 |
external (外部) |
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接 |
dmz (非军事区) |
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接 |
work (工作) |
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接 |
home (家庭) |
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接 |
internal (内部) |
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接 |
trusted (信任) |
可接受所有的网络连接 |
Firewalld
重新启动或重新加载配置Firewalld
重新启动或重新加载配置启动、停止、查看 firewalld
服务
systemctl start firewalld //启动 firewalld
systemctl enable firewalld //设置 firewalld 为开机自启动
systemctl status firewalld //查看 firewalld 状态信息
firewall-cmd --state //查看 firewalld 状态信息
systemctl stop firewalld //停止 firewalld
systemctl disable firewalld //设置 firewalld 开机不自启动
获取预定义信息
firewall-cmd
预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP
阻塞类型firewall-cmd --get-zones //显示预定义的区域
firewall-cmd --get-service //显示预定义的服务
firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
firewall-cmd --get-icmptypes
命令的执行结果中各种阻塞类型的含义destination-unreachable
:目的地址不可达。
echo-reply
:应答回应(pong)。
parameter-problem
:参数问题。
redirect
:重新定向。
router-advertisement
:路由器通告。
router-solicitation
:路由器征寻。
source-quench
:源端抑制。
time-exceeded
:超时。
timestamp-reply
:时间戳应答回应。
timestamp-request
:时间戳请求。
区域管理
firewall-cmd
命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。选项 | 说明 |
---|---|
--get -default -zone |
显示网络连接或接口的默认区域 |
--set -default -zone=<zone> |
设置网络连接或接口的默认区域 |
--get -active -zones |
显示已激活的所有区域 |
--get- zone -of -interface=<interface> |
显示指定接口绑定的区域 |
--zone=<zone> --add-interface=<interface> |
为指定接口绑定区域 |
--zone=<zone> --change-interface=<interface> |
为指定的区域更改绑定的网络接口 |
--zone=<zone> --remove-interface=<interface> |
为指定的区域删除绑定的网络接口 |
--list-all-zones |
显示所有区域及其规则 |
[--zone=<zone>] --list-a |
显示所有指定区域的所有规则,省略--zone=<zone> 时表示仅 |
firewalld
预先定义了 很 多 服 务 ,存放在/usr/lib/firewalld/services/
目录中,服务通过单个的 XML
配置文件来指定,这些配置文件则按以下格式命名:service-name.xml
,每个文件对应一项具体的网络服务,当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service
配置文件放置在 /etc/firewalld/services/
目录中。service
配置优点:通过服务名字来管理规则更加人性化、通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服 务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。firewall-cmd
命令区域中服务管理的常用选项说明:选项 | 说明 |
---|---|
[--zone=<zone>] --list-services |
显示指定区域内允许访问的所有服务 |
[--zone=<zone>] --add-service=<service> |
为指定区域设置允许访问的某项服务 |
[--zone=<zone>] --remove-service=<service> |
删除指定区域已设置的允许访问的某项服务 |
[--zone=<zone>] --list-ports |
显示指定区域内允许访问的所有端口号 |
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> |
为指定区域设置允许访问的某个/某段端口号 (包括协议名) |
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> |
删除指定区域已设置的允许访问的端口号(包括协议名) |
[--zone=<zone>] --list-icmp-blocks |
显示指定区域内拒绝访问的所有 ICMP 类型 |
[--zone=<zone>] --add-icmp-block=<icmptype> |
为指定区域设置拒绝访问的某项 ICMP 类型 |
[--zone=<zone>] --remove-icmp-block=<icmptype> |
删除指定区域已设置的拒绝访问的某项 ICMP 类 型,省略--zone=<zone> 时表示对默认区域操作 |
端口管理
firewall-cmd --zone=internal --add-port=443/tcp //再internal区域打开443端口
firewall-cmd --zone=internal --remove-port=443/tcp //再internal区域禁用443端口
firewall-cmd
命令工具有两种配置模式:运行时模式(Runtime mode)
表示 当前内存中运行的防火墙配置,在系统或 firewalld
服务重启、停止时配置将失效、永久模 式(Permanent mode)
表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置 文件中的。 firewall-cmd
命令工具与配置模式相关的选项有三个:选项 | 说明 |
---|---|
--reload |
重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置 |
--permanent |
带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则 |
--runtime-to-permanent |
将当前的运行时配置写入规则配置文件中,使之成为永久性 |
Firewalld
会优先使用/etc/firewalld
/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/
中的配置/etc/firewalld/
:用户自定义配置文件,需要时可以通过从/usr/lib/firewalld/
中拷贝/usr/lib/firewalld/
:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/
中的配置免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。