Centos7/RHEL7-firewalld设置访问规则

CentOS7/RHEL7系统默认的iptables管理工具是firewalld，不再是以往的iptables-services，命令用起来也是不一样了，当然也可以选择卸载firewalld，安装iptables-services。

功能

1、入侵检测功能
网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。
2、网络地址转换功能
利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。
3、网络操作的审计监控功能
通过此功能可以有效对系统管理的所有操作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。
4、强化网络安全服务
防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

重要性

1、记录计算机网络之中的数据信息
数据信息对于计算机网络建设工作有着积极的促进作用，同时其对于计算机网络安全也有着一定程度上的影响。通过防火墙技术能够收集计算机网络在运行的过程当中的数据传输、信息访问等多方面的内容，同时对收集的信息进行分类分组，借此找出其中存在安全隐患的数据信息，采取针对性的措施进行解决，有效防止这些数据信息影响到计算机网络的安全。除此之外，工作人员在对防火墙之中记录的数据信息进行总结之后，能够明确不同类型的异常数据信息的特点，借此能够有效提高计算机网络风险防控工作的效率和质量。
2、防止工作人员访问存在安全隐患的网站
计算机网络安全问题之中有相当一部分是由工作人员进入了存在安全隐患的网站所导致的。通过应用防火墙技术能够对工作人员的操作进行实时监控，一旦发现工作人员即将进入存在安全隐患的网站，防火墙就会立刻发出警报，借此有效防止工作人员误入存在安全隐患的网站，有效提高访问工作的安全性。
3、控制不安全服务
计算机网络在运行的过程当中会出现许多不安全服务，这些不安全服务会严重影响到计算机网络的安全。通过应用防火墙技术能够有效降低工作人员的实际操作风险，其能够将不安全服务有效拦截下来，有效防止非法攻击对计算机网络安全造成影响。此外，通过防火墙技术还能够实现对计算机网络之中的各项工作进行实施监控，借此使得计算机用户的各项工作能够在一个安全可靠的环境之下进行，有效防止因为计算机网络问题给用户带来经济损失。 [4]

firewalld 服务管理

1、安装firewalld
yum -y install firewalld
2、开机启动/禁用服务
systemctl enable/disable firewalld
3、启动/关闭服务
systemctl start/stop firewalld
4、查看服务状态
systemctl status firewalld


使用firewall-cmd命令设置规则

1、查看状态
firewall-cmd --state
2、获取活动的区域
firewall-cmd --get-active-zones
3、 获取所有支持的服务
firewall-cmd --get-service
4、应急模式（阻断所有的网络连接）
firewall-cmd --panic-on #开启应急模式
firewall-cmd --panic-off #关闭应急模式
firewall-cmd --query-panic #查询应急模式
5、修改配置文件后 使用命令重新加载
firewall-cmd --reload
6、启用某个服务/端口
firewall-cmd --zone=public --add-service=https #临时
firewall-cmd --permanent --zone=public --add-service=https #永久
firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp #永久
firewall-cmd --zone=public --add-port=8080-8081/tcp #临时
如果是要删除，直接修改成remove-service或者remove-port
7、查看开启的端口和服务
firewall-cmd --permanent --zone=public --list-services #服务空格隔开 例如 dhcpv6-client https ss
firewall-cmd --permanent --zone=public --list-ports #端口空格隔开 例如 8080-8081
在每次修改 端口和服务后 /etc/firewalld/zones/public.xml 文件就会被修改。
8、设置某个ip 访问某个服务
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.122.0/24” service name=“http” accept” #ip 192.168.122.0/24 访问 http

总结

防火墙预定义的服务配置文件是xml文件，目录在 /usr/lib/firewalld/services/； 在 /etc/firewalld/services/ 这个目录中也有配置文件，但是/etc/firewalld/services/目录优先于 /usr/lib/firewalld/services/ 目录。