firewalld网络防护：Linux系统中firewalld防火墙的基本使用

3.1 问题

本例要求掌握Linux系统中firewalld防火墙的基本使用，完成下列任务。

1. 启用防火墙firewalld服务
2. 确认默认安全区为public
3. 设置策略允许访问httpd服务
4. 设置策略允许访问本机的 tcp/82端口
5. 上述配置，要求在此系统重启后仍然有效

3.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：启用firewalld防火墙服务

确保防火墙服务已启动：

步骤二：配置防火墙策略

1）打开firewall-config配置工具

需要切换到图形模式，并以root用户登录。

1. [root@svr7 ~]# systemctl isolate graphical.target
2. [root@svr7 ~]#

然后在桌面环境开启终端，执行firewall-config命令。

1. [root@svr7 ~]# firewall-config
2. .. ..

即可打开图形化的防火墙配置工具，如图-5所示。

图-5

2）确认默认安全区为public

如图-5所示，如果没有修改过，默认安全区应该就是public（在区域部分加粗显示）。

如果不是，也可以通过菜单“选项”-“改变默认区”来进行更改，选择public即可，如图-6所示。

图-6

3）设置策略允许访问httpd服务

在“配置”处选择“永久”，在“区域”处选择“public”，在“服务”处勾选“httpd”即可，如图-7所示。

图-7

4）设置策略允许访问本机的 tcp/82端口

在“配置”处选择“永久”，在“区域”处选择“public”，在“端口”处单击“添加”，弹出窗口后根据提示填写即可，如图-8所示。

图-8

5）重载防火墙

通过浏览器访问 。

图-9

步骤三：验证防火墙保护效果

1）防火墙允许时正常访问Web

从同网络内的另外一台主机（注意不要从Web服务器本机访问，因为本机访问自己不需要经过防火墙）访问http://虚拟机IP地址/，可以成功访问，如图-10所示。

图-10

2）如果不开放“http”，默认public安全区将拒绝访问Web

调整防火墙策略，取消对“http”的勾选，并重载防护墙。

再次从其他主机访问http://虚拟机IP地址/，将会被拒绝，如图-11所示。

图-11

3）停止防火墙服务（不保护）后，也可以正常访问Web服务

如果将firewalld服务停止：

1. [root@svr7 ~]# systemctl stop firewalld
2. [root@svr7 ~]#

从其他主机也可以正常访问此主机的Web服务，如图-12所示。

图-12