Linux防火墙firewalld安全设置
文章目录
- 前言
- 一:rewalld防火墙基础
- 1.1:Firewalld概述
- 1.2:Firewalld和iptables的关系
- 1.3:Firewalld和iptables的区别
- 1.4:Firewalld网络区域
- 1.5:Firewalld数据处理流程
- 1.6:区域的分类
- 1.7:Firewalld防火墙的配置方法
- 1.8:图形化工具跟命令行工具
- 二:Firewalld防火墙命令
- 2.1firewalld防火墙维护命令
- 2.11:防火墙进程操作
- 2.12:启动、停止、查看 firewalld 服务
- 2.13:如果想要禁用 firewalld
- 2.2:获取预定义信息
- 2.21:显示预定义的区域
- 2.22:显示预定义服务
- 2.23:显示预定义ICMP类型
- 三:firewall区域管理
- 3.1:firewall区域命令
- 3.11:显示网络连接或接口的默认区域
- 3.12:设置网络连接或接口的默认区域
- 3.13:显示已激活的所有区域
- 3.14:显示指定接口绑定的区域(显示ens33接口绑定的区域)
- 3.15:为指定接口绑定区域(为ens33绑定work区域)
- 3.16:为指定的区域更改绑定的网络接口
- 3.17:为指定的区域删除绑定的网络接口
- 3.18:显示所有区域及其规则
- 3.19:显示work区域的所有规则
- 3.2:显示默认区域的所有规则
- 3.2:区域操作命令总结
- 四:firewalld服务操作命令
- 4.1:服务操作命令
- 4.11:显示指定区域内允许访问的所有服务
- 4.12:为指定区域设置允许访问的某项服务
- 4.13:删除指定区域允许访问的某项服务
- 4.14:操作命令总结
- 五:firewall端口操作命令
- 5.1端口操作命令
- 5.11:显示指定区域内允许访问的所有端口
- 5.12:为指定区域设置允许访问的端口号
- 5.13:删除指定区域已设置的允许访问端口号(包括协议号)
- 六:firewall阻塞ICMP操作命令
- 6.1:操作命令
- 6.11:显示指定区域内拒绝访问的所有ICMP类型
- 6.12:为指定区域内设置拒绝访问的某项ICMP类型
- 6.13:删除指定区域已设置的拒绝访问的某项ICMP类
- 6.14:查询work区域的echo-request类型的ICMP是否阻塞
- 6.2:操作命令总结
前言
centos 7中防火墙FirewallD是一个非常的强大的功能了, FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon 无法解析由 iptables 和 ebtables 命令行工具添加的防火墙规则。
一:rewalld防火墙基础
1.1:Firewalld概述
- 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
- 支持IPv4、IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式
1、运行时配置
2、永久配置
1.2:Firewalld和iptables的关系
1、netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
2、Firewalld/iptables
- CentOS7默认的管理防火墙规则的工具(Firewalld)
- 称为Linux防火墙的“用户态"
1.3:Firewalld和iptables的区别
| Firewalld | iptables | |
|---|---|---|
| 配置文件 | /usr/lib/firewalld/ (用户管理) /etc/firewalld (服务本身配置) | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失连接 |
| 防火墙类型 | 动态防火墙 | 静态防火墙 |
1.4:Firewalld网络区域
- 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
- 默认情况下,public区域是默认区域,包含所有接口(网卡) .
1.5:Firewalld数据处理流程
Firewalld数据处理流程,检查数据来源的源地址
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域,并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
1.6:区域的分类
| 区域 | 默认规则策略 |
|---|---|
| trusted | 允许所有的数据包流入与流出 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流入的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
1.7:Firewalld防火墙的配置方法
1、运行时配置
- 实时生效,并持续至Firewalld重 新启动或重新加载配置
- 不中断现有连接
- 不能修改服务配置
2、永久配置
- 不立即生效,除非Firewalld重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
1.8:图形化工具跟命令行工具
-
Firewall-config图形工具 (应用较少)
-
Firewall-cmd命令行工具
-
/etc/firewalld/中的配置文件
◆Firewalld会优先使用/etc/firewalld/中的配置,如果不存在
配置文件,则使用/usr/lib/firewalld/中的配置
◆/et/firewalld/ :用户自定义配置文件,需要时可通过从
/usr/lib/firewalld/中拷贝
◆/usr/ib/firewalld/:默认配置文件,不建议修改,若恢复至默
认配置,可直接删除/etc/firewalld/ 中的配置
二:Firewalld防火墙命令
2.1firewalld防火墙维护命令
2.11:防火墙进程操作
[root@localhost ~]# systemctl 选项 firewalld
选项:
stop:关闭
start:开启
restart:重启
status:状态启动、停止、查看 firewalld 服务
2.12:启动、停止、查看 firewalld 服务
在安装 CentOS7 系统时,会自动安装 firewalld 和图形化工具 firewall-config。执行 以下命令可以启动 firewalld 并设置为开机自启动状态。
[root@localhost ~]# systemctl start firewalld //启动firewalld
[root@localhost ~]# systemctl enable firewalld 设置firewalld 为开机自启动
[root@localhost ~]# systemctl status firewalld
或者
[root@localhost ~]# firewall-cmd --state
running
2.13:如果想要禁用 firewalld
[root@localhost ~]# systemctl stop firewalld //停止 firewalld
[root@localhost ~]#systemctl disable firewalld //设置 firewalld 开机不自启动
2.2:获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻 塞类型,具体的查看命令如下所示。
2.21:显示预定义的区域
[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
2.22:显示预定义服务
[root@localhost ~]# firewall-cmd --get-service
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-
...省略内容
2.23:显示预定义ICMP类型
[root@localhost ~]# firewall-cmd --get-icmptypes
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
-
destination-unreachable:目的地址不可达
-
echo-reply:应答回应(pong)
-
parameter-problem:参数问题
-
redirect:重新定向
-
router-advertisement:路由器通告
-
router-solicitation:路由器征寻
-
source-quench:源端抑制
-
time-exceeded:超时
-
timestamp-reply:时间戳应答回应
-
timestamp-request:时间戳请求
三:firewall区域管理
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
3.1:firewall区域命令
3.11:显示网络连接或接口的默认区域
[root@localhost ~]# firewall-cmd --get-default-zone
public
3.12:设置网络连接或接口的默认区域
//设置默认为work区域
[root@localhost ~]# firewall-cmd --set-default-zone=work
success
//查看已经修改成功
[root@localhost ~]# firewall-cmd --get-default-zone
work
3.13:显示已激活的所有区域
[root@localhost ~]# firewall-cmd --get-active-zones
work
interfaces: ens33
3.14:显示指定接口绑定的区域(显示ens33接口绑定的区域)
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
work
3.15:为指定接口绑定区域(为ens33绑定work区域)
[root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33
The interface is under control of NetworkManager, setting zone to 'work'.
success
3.16:为指定的区域更改绑定的网络接口
[root@localhost ~]# firewall-cmd --zone=work --change-interface=ens36
success
[root@localhost ~]# firewall-cmd --get-default-zone
public
3.17:为指定的区域删除绑定的网络接口
//ens33接口属于work区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
work
//默认区域是pulic
[root@localhost ~]# firewall-cmd --get-default-zone
public
[root@localhost ~]# firewall-cmd --zone=work --remove-interface=ens33
The interface is under control of NetworkManager, setting zone to default.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
3.18:显示所有区域及其规则
[root@localhost ~]# firewall-cmd --list-all-zones
3.19:显示work区域的所有规则
[root@localhost ~]# firewall-cmd --zone=work --list-all
3.2:显示默认区域的所有规则
[root@localhost ~]# firewall-cmd --list-all
3.2:区域操作命令总结
| 命令选项 | 说明 |
|---|---|
| –get-default-zone | 显示网络连接或接口的默认区域 |
| –set-default-zone=区域类型 | 设置网络连接或接口的默认区域 |
| –get-active-zones | 显示已激活的所有区域 |
| –get-zone-of-interface=接口(网卡) | 显示指定接口绑定的区域 |
| –zone=区域类型 --add-interface=接口(网卡) | 为指定接口绑定区域 |
| –zone=区域类型 --change-interface=接口(网卡) | 为指定的区域更改绑定的网络接口 |
| –zone=区域类型 --remove-interface=接口(网卡) | 为指定的区域删除绑定的网络接口 |
| –query-interface=接口(网卡) | 查询区域中是否包含某接口 |
| –list-all-zones | 显示所有区域及其规则 |
| [–zone=区域类型] --list-all | 显示所有指定区域的所有规则 |
四:firewalld服务操作命令
4.1:服务操作命令
4.11:显示指定区域内允许访问的所有服务
//显示work区域内允许访问的所有服务
[root@promote ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
4.12:为指定区域设置允许访问的某项服务
//为work区域设置允许访问http服务
[root@promote ~]# firewall-cmd --zone=work --add-service=http
success
[root@promote ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
4.13:删除指定区域允许访问的某项服务
//http删除指定区域以设置的允许访问的某项服务
[root@promote ~]# firewall-cmd --zone=work --remove-service=http
succe:ss
4.14:操作命令总结
| 命令选项 | 说明 |
|---|---|
| [–zone=区域类型] --list-services | 显示指定区域内允许访问的所有服务 |
| [–zone=区域类型] --add-service=服务 | 为指定区域设置允许访问的某项服务 |
| [–zone=区域类型] --remove-service=服务 | 删除指定区域已设置的允许访问的某项服务 |
| [–zone=区域类型] --query-service=服务 | 查询指定区域中是否启用了某项服务 |
五:firewall端口操作命令
5.1端口操作命令
5.11:显示指定区域内允许访问的所有端口
[root@promote ~]# firewall-cmd --zone=work --list-ports
443/tc:p
5.12:为指定区域设置允许访问的端口号
[root@promote ~]# firewall-cmd --zone=work --add-port=69/udp
success
[root@promote ~]# firewall-cmd --zone=work --list-ports
443/tcp 69/udp
5.13:删除指定区域已设置的允许访问端口号(包括协议号)
//删除udp 69端口号
[root@promote ~]# firewall-cmd --zone=work --remove-port=69/udp
success
[root@promote ~]# firewall-cmd --zone=work --list-ports
443:/tcp
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自 动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作 即可实现在 internal 区域打开 443/TCP 端口。
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
实现在 internal 区域禁止 443/TCP 端口访问
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp
success
六:firewall阻塞ICMP操作命令
6.1:操作命令
6.11:显示指定区域内拒绝访问的所有ICMP类型
[root@promote ~]# firewall-cmd --zone=work --list-icmp-blocks
echo-request
6.12:为指定区域内设置拒绝访问的某项ICMP类型
//为eork区域设置拒绝echo-reply访问
[root@promote ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply
success
6.13:删除指定区域已设置的拒绝访问的某项ICMP类
[root@promote ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply
success
6.14:查询work区域的echo-request类型的ICMP是否阻塞
[root@localhost ~]# firewall-cmd --zone=work --query-icmp-block=echo-request
no
6.2:操作命令总结
| 操作命令选项 | 说明 |
|---|---|
| [–zone=区域类型] --list-icmp-blocks | 显示指定区域内阻塞的所有ICMP类型 |
| [–zone=区域类型] --add-icmp-block=ICMP类型 | 为指定区域设置阻塞的某项ICMP类型 |
| [–zone=区域类型] --remove-icmp-block=ICMP类型 | 删除指定区域已阻塞的某项ICMP类型 |
感谢观看,不足之处多多评价