centos7.6——防火墙Firewalld

centos7.6——防火墙Firewalld

一、firewall概论

firewalld

• 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
• 支持ipv4、ipv6防火墙设置以及以太网桥
• 支持服务或应用程序直接添加防火墙规则接口
• 拥有两种配置模式
• 运行时配置
• 永久配置

二、firewalld和iptables 的关系

netfilter

• 位于Linux内核中的包过滤功能体系
• 称为Linux防火墙的 “ 内核态 ”

Firewalld/iptables

• Centos 7 默认的管理防火墙规则的工具（firewalld）
• 称为Linux防火墙的 “用户态”

三、firewalld网络区域

3.1 区域介绍

• 区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
• 可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
• 默认情况下，public区域是默认区域，包含所有接口（网卡）

3.2 firewalld 数据处理流程

1. 检查数据来源的源地址
2. 若源地址关联到特定的区域，则执行该区域所指定的规则
3. 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
4. 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

四、firewalld防火墙的配置方法

4.1 运行时配置

• 实时生效，并持续至firewalld重新启动或重新加载配置
• 不中断现有连接
• 不能修改服务配置

4.2 永久配置

• 不立即生效，除非firewalld重新启动或重新加载配置
• 中断现有连接
• 可以修改服务配置

firewall-config 图形工具

firewall-cmd 命令行工具

/etc/firewalld/中的配置文件

• firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/lib/firewalld/中的配置。
• /etc/firewalld/: 用户自定义配置文件，需要时可通过从/usr/lib/firewalld/中拷贝
• /usr/lib/firewalld/:默认配置文件，不建议修改，若修复至默认配置，可直接删除/etc/firewalld/中的配置

五、firewall-config图形工具

六、firewall-cmd 命令行工具

6.1 启动、停止、查看 firewalld 服务

在安装 CentOS7 系统时，会自动安装 firewalld 和图形化工具 firewall-config。执行
以下命令可以启动 firewalld 并设置为开机自启动状态。

1. systemctl start firewalld //启动 firewalld

2. systemctl enable firewalld //设置 firewalld 为开机自启动

3. systemctl status firewalld

4. firewall-cmd --state

6.2 获取预定义信息

firewall-cmd 预定义信息主要包括三种：可用的区域、可用的服务以及可用的 ICMP 阻
塞类型，具体的查看命令如下所示。

• firewall-cmd --get-zones //显示预定义的区域

• firewall-cmd --get-service //显示预定义的服务

• firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型

• firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。

• destination-unreachable：目的地址不可达。

• echo-reply：应答回应（pong）。

• parameter-problem：参数问题。

• redirect：重新定向。

• router-advertisement：路由器通告。

• router-solicitation：路由器征寻。

• source-quench：源端抑制。

• time-exceeded：超时。

• timestamp-reply：时间戳应答回应。

• timestamp-request：时间戳请求。

6.3 区域管理

使用 firewall-cmd 命令可以实现获取和管理区域，为指定区域绑定网络接口等功能。
表 1-2 中列出了 firewall-cmd 命令的区域管理选项说明。
表 1-2 firewall-cmd 命令的区域管理选项说明
选项 说明
–get-default-zone 显示网络连接或接口的默认区域

–set-default-zone= 设置网络连接或接口的默认区域

–get-active-zones 显示已激活的所有区域

–get-zone-of-interface= 显示指定接口绑定的区域

–zone= --add-interface= 为指定接口绑定区域

–zone= --change-interface= 为指定的区域更改绑定的网络接口

–zone= --remove-interface= 为指定的区域删除绑定的网络接口

–list-all-zones 显示所有区域及其规则

[–zone=] --list-all 显示所有指定区域的所有规则，省略–zone=时表示仅
对默认区域操作
具体操作如下所示。

（1）显示当前系统中的默认区域。
[root@localhost ~]# firewall-cmd --get-default-zone
public
（2）显示默认区域的所有规则。
[root@localhost ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
（3）显示网络接口 ens33 对应区域。
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
（4）将网络接口 ens33 对应区域更改为 internal 区域。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to ‘internal’.
success
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces
ens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal
（5）显示所有激活区域。
[root@localhost ~]# firewall-cmd --get-active-zones
internal
interfaces: ens33

6.4 服务管理

为 了 方 便 管 理 ， firewalld 预 先 定 义 了 很 多 服 务 ， 存 放 在
/usr/lib/firewalld/services/ 目录中，服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名：service-name.xml，每个文件对应一项具体的网络服务，如 ssh 服
务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的
firewalld 中默认已经定义了 70 多种服务供我们使用，对于每个网络区域，均可以配置允
许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将
service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。
 通过服务名字来管理规则更加人性化。
 通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服
务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。
表 1-3 firewall-cmd 命令区域中服务管理的常用选项说明
选项 说明
[–zone=] --list-services 显示指定区域内允许访问的所有服务

[–zone=] --add-service= 为指定区域设置允许访问的某项服务

[–zone=] --remove-service= 删除指定区域已设置的允许访问的某项服务

[–zone=] --list-ports 显示指定区域内允许访问的所有端口号

[–zone=] --add-port=[-]/ 为指定区域设置允许访问的某个/某段端口号
（包括协议名）
[–zone=] --remove-port=[-]/ 删除指定区域已设置的允许访问的端口号（包括
协议名）
[–zone=] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型

[–zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项 ICMP 类型

[–zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项 ICMP 类
型，省略–zone=时表示对默认区域操作
具体操作如下所示。

（1）为默认区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --list-services
//显示默认区域内允许访问的所有服务
dhcpv6-clientssh
[root@localhost ~]# firewall-cmd --add-service=http
//设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https
//设置默认区域允许访问 https 服务
success
[root@localhost ~]# firewall-cmd --list-services
dhcpv6-clientssh https http

（2）为 internal 区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
//设置 internal 区域允许访问 mysql 服务
success
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client
//设置 internal 区域不允许访问 samba-client 服务
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services
//显示 internal 区域内允许访问的所有服务
sshmdns dhcpv6-client mysql

6.5 端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自
动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作
即可实现在 internal 区域打开 443/TCP 端口。

[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
若想实现在 internal 区域禁止 443/TCP 端口访问，可执行以下命令。
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp
success

6.6两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式：运行时模式（Runtime mode）表示
当前内存中运行的防火墙配置，在系统或 firewalld 服务重启、停止时配置将失效；永久模
式（Permanent mode）表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置
文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。

 --reload：重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。

 --permanent：带有此选项的命令用于设置永久性规则，这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效；若不带有此选项，表示用于设置运行时
规则。
–runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性

七、firewalld防火墙案例

案例一

实验环境

实验描述

• 禁止主机ping服务器
• 只允许192.168.75.100主机访问ssh服务
• 允许所有主机访问Apache服务

firewall-config 图形工具

1. 区域选择work，服务勾选 ssh http
2. 禁止客户机访问服务器那么就是勾选ICMP过滤器 “ echo——request ”
3. 来源：添加可访问服务器的客户机的ip地址。

注意：重载防火墙是指，将永久设置将变成新的运行设置。

设置允许所有主机访问Apache服务

设置public区域勾选http

验证需求

禁止主机ping服务器

只允许192.168.75.100主机访问ssh服务

允许所有主机访问Apache服务

客户端192.168.75.200也可以访问firewalld服务端