Linux：firewalld防火墙-介绍（1）

防火墙技术

1.包过滤 packet filtering
2.应用代理 application proxy
3.状态检测 stateful inspection
 

---

Linux 包过滤防火墙 概述

1.netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
2.firewalld
CentOS7默认的管理防火墙规则的工具
称为Linux防火墙的“用户态”

—— 上述2种称呼都可以表示Linux防火墙

---

包过滤防火墙的特点

1.主要是网络层，针对IP数据包---检查源ip

2.体现在对包内的IP地址、端口等信息的处理上
linux服务器主要用于对互联网提供某种服务或做为内部局域网的网关服务器

---

firewalld简介

防火墙是 Linux 系统的主要的安全工具，可以提供基本的安全防护，在 Linux 历史上已经使用过的防火墙工具包括：ipfwadm、ipchains、iptables。在 Firewalld 中新引入了区域（Zones）这个概念。

firewalld 提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 iptables 防火墙是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。现在 firewalld 可以动态管理防火墙，firewalld 把 Netfilter 的过滤功能于一身 

1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
2.支持IPv4、IPv6防火墙设置以及以太网桥
3.支持服务或应用程序直接添加防火墙规则接口
4.拥有两种配置模式
1）运行时配置---服务器重启后失效
2）永久配置----服务器关机、重启后生效 

---

 网络区域

firewalld预定义的网络区域
trusted、public、work、home、internal、external、dmz、block、drop 

默认情况就有一些有效的区域。由 firewalld 提供的区域按照从不信任到信任的顺序排序。

丢弃区域（Drop Zone）：如果使用丢弃区域，任何进入的数据包将被丢弃。这个类似与我们之前使用 iptables -j drop。使用丢弃规则意味着将不存在响应。

阻塞区域（Block Zone）：阻塞区域会拒绝进入的网络连接，返回 icmp-host-prohibited，只有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接。

公共区域（Public Zone）：只接受那些被选中的连接，默认只允许 ssh 和 dhcpv6-client。这个 zone 是缺省 zone

外部区域（External Zone）：这个区域相当于路由器的启用伪装（masquerading）选项。只有指定的连接会被接受，即 ssh，而其它的连接将被丢弃或者不被接受。

隔离区域（DMZ Zone）：如果想要只允许给部分服务能被外部访问，可以在 DMZ 区域中定义。它也拥有只通过被选中连接的特性，即 ssh。

工作区域（Work Zone）：在这个区域，我们只能定义内部网络。比如私有网络通信才被允许，只允许 ssh，ipp-client 和 dhcpv6-client。

家庭区域（Home Zone）：这个区域专门用于家庭环境。它同样只允许被选中的连接，即 ssh，ipp-client，mdns，samba-client 和 dhcpv6-client。

内部区域（Internal Zone）：这个区域和工作区域（Work Zone）类似，只有通过被选中的连接，和 home 区域一样。

以上是系统定义的所有的 zone，但是这些 zone 并不是都在使用。只有活跃的 zone 才有
实际操作意义。
 

---

Firewalld 的检查原则

如果一个客户端访问服务器，服务器根据以下原则决定使用哪个 zone 的策略去匹配

如果一个客户端数据包的源 IP 地址匹配 zone 的 sources，那么该 zone 的规则就适用这个客户端；一个源只能属于一个 zone，不能同时属于多个 zone。

如果一个客户端数据包进入服务器的某一个接口（如 eth0）区配 zone 的 interfaces，则么该 zone 的规则就适用这个客户端；一个接口只能属于一个 zone，不能同时属于多个zone。

如果上述两个原则都不满足，那么默认的 zone 将被应用firewalld数据处理流程，检查数据来源的源地址，若源地址关联到特定的区域，则执行该区域所制定的规则；若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所制定的规则；若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则

---

 数据包处理原则：---检查源地址

1.匹配源地址所在区域
2.匹配入站接口所在区域
3.匹配默认区域

---

firewalld防火墙的配置方法

firewall-config图形工具
firewall-cmd命令行工具
/etc/firewalld/中的配置文件

---

firewall-config图形工具

打开方式：应用程序---杂项---防火墙
主菜单：文件、选项、查看、帮助
配置：运行时 和 永久（服务重启生效）

---

区域 选项卡 

“服务”子选项卡：哪些服务可信
“端口”子选项卡：允许访问的端口范围
“协议”子选项卡：可访问的协议
“源端口”子选项卡：额外的源端口或范围
“伪装”子选项卡：私有地址映射为公有ip
“端口转发”子选项卡：指定端口映射为其他端口（本机或其他主机）
“ICMP过滤器”子选项卡：设置具体的icmp类型 

---

“服务”选项卡---只适用于永久模式

“模块” 子选项卡：设置网络过滤的辅助模块
“目标”子选项卡：如果指定了目的地址，服务则仅限于目的地址和类型。默认没有限制

--reload 把永久的规则添加到当前运行模式

--permanent  把一条规则保存为永久模式

--runtime--permanent 当前-——-> 永久

---