Firewalld简介
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置
永久配置
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
Firewalld/iptables
CentOS7默认的管理防火墙规则的工具
称为Linux防火墙的“用户态”
Firewalld和iptables的区别
区域介绍
其中在不对网卡调整时。public为默认模式
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
默认情况下,public区域是默认区域,包含所有接口(网卡)
检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
永久配置
不立即生效,除非Firewalld重新启动或重新加载配置
终端现有连接
可以修改服务配置
运行时配置/永久配置
重新加载防火墙
更改永久配置并生效(关联网卡到指定区域)
修改默认区域
连接状态
区域选项卡内容
1.“服务” 子选项卡
2.“端口”子选项卡
3.“协议”子选项卡
4.“源端口”子选项卡
5.“伪装”子选项卡
6.“端口转发”子选项卡
7.“ICMP过滤器”子选项卡服务选项卡
1.“模块”子选项卡
2.“目标地址”子选项卡
需求描述:
禁止主机ping服务器
只允许192.168.131.129主机访问SSH服务
允许所有主机访问Apache服务
在终端使用命令:firewall-config 进入firewall的图形化界面
只允许192.168.131.129访问SSH服务的设置
在区域的选项卡中选择work,再选择子选项卡“来源”,在其中添加允许访问SSH服务主机的IP地址192.168.131.129
在区域的选项卡中选择work,勾选ssh与dhcp并去除dhcpv6-clicent,之后再public(公共区域)中去除ssh选项
允许所有主机访问Apache服务配置
在区域的选项卡中选择public(公共区域),勾选dhcp并去除dhcpv6-clicent
禁止主机ping服务器配置
在work的ICMP过滤器选项中勾选echo-request
在public(公共区域)的ICMP过滤器选项中勾选echo-reply
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。