Linux--Firewalld 防火墙基础

前言

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用。

一、Firewalld 概述

1.1、Firewalld

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

支持IPv4，IPv6防火墙设置以及以太网桥

支持服务或应用程序直接添加防火墙规则接口

拥有两种配置模式

运行时配置（一般测试的时候使用）

永久配置

二、Firewalld 和iptables 的关系

2.1、netfilter

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”

2.2、Firewalld、iptables

CentOS 7默认的管理防火墙规则的工具（Firewalld）
称为Linux防火墙的“用户态”

2.3、Firewalld 和iptables 的区别

三、Firewalld 网络区域

3.1、区域介绍

区域如同进入主机的安全门，每个区域都具有不同限制程度的规则

可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口

默认情况下，public区域是默认区域，包含所有接口（网卡）

3.2、Firewalld 数据处理流程

检查数据来源的源地址

若源地址关联到特定的区域，则执行该区域所指定的规则
若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

四、Firewalld 防火墙的配置方法

运行时配置
实时生效，并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置

永久配置
不立即生效，除非Firewalld重新启动和重新加载配置
中断现有连接
可以修改服务配置

Firewall-config图形工具（用的少）
Firewall-cmd命令行工具（用的多）

/etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/bin/firewalld/中的配置
/etc/firewalld/：用户自定义配置文件，需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可以直接删除/etc/firewalld/中的配置

五、Firewall-config图形工具

包含运行时配置/永久配置

重新加载防火墙

更改永久配置并生效

关联网卡到指定区域

修改默认区域

连接状态

“区域”选项卡

“服务”子选项卡
“端口”子选项卡
“协议”子选项卡
“源端口”子选项卡
“伪装”子选项卡
“端口转发”子选项卡
“ICMP过滤器”子选项卡

“服务”选项卡

“模块”子选项卡
“目标地址”子选项卡