如何修改Linux防火墙firewalld安全状态(CentOS7)

目录

  • 前言
  • 一:rewalld防火墙基础
    • 1.1:Firewalld概述
    • 1.2:Firewalld和iptables的关系
    • 1.3:Firewalld和iptables的区别
    • 1.4:Firewalld网络区域
    • 1.5:Firewalld数据处理流程
    • 1.6:区域的分类
    • 1.7:Firewalld防火墙的配置方法
    • 1.8:图形化工具跟命令行工具
  • 二:Firewalld防火墙命令
    • 2.1firewalld防火墙维护命令
      • 2.11:防火墙进程操作
      • 2.12:启动、停止、查看 firewalld 服务
      • 2.13:如果想要禁用 firewalld
    • 2.2:获取预定义信息
      • 2.21:显示预定义的区域
      • 2.22:显示预定义服务
      • 2.23:显示预定义ICMP类型
  • 三:firewall区域管理
    • 3.1:firewall区域命令
      • 3.11:显示网络连接或接口的默认区域
      • 3.12:设置网络连接或接口的默认区域
      • 3.13:显示已激活的所有区域
      • 3.14:显示指定接口绑定的区域(显示ens33接口绑定的区域)
      • 3.15:为指定接口绑定区域(为ens33绑定work区域)
      • 3.16:为指定的区域更改绑定的网络接口
      • 3.17:为指定的区域删除绑定的网络接口
      • 3.18:显示所有区域及其规则
      • 3.19:显示work区域的所有规则
      • 3.20:显示默认区域的所有规则
    • 3.2:区域操作命令总结
  • 四:firewalld服务操作命令
    • 4.1:服务操作命令
      • 4.11:显示指定区域内允许访问的所有服务
      • 4.12:为指定区域设置允许访问的某项服务
      • 4.13:删除指定区域允许访问的某项服务
      • 4.14:操作命令总结
  • 五:firewall端口操作命令
    • 5.1端口操作命令
      • 5.11:显示指定区域内允许访问的所有端口
      • 5.13:删除指定区域已设置的允许访问端口号(包括协议号)
  • 六:firewall阻塞ICMP操作命令
    • 6.1:操作命令
      • 6.11:为指定区域内设置拒绝访问的某项ICMP类型
      • 6.12:显示指定区域内拒绝访问的所有ICMP类型
      • 6.13:删除指定区域已设置的拒绝访问的某项ICMP类
      • 6.14:查询work区域的echo-request类型的ICMP是否阻塞
      • 6.2:操作命令总结

前言

​  Centos 7中防火墙FirewallD是Linux上新的防火墙软件,和iptables差不多的工具。firewalld是centos7/8的一大特性,两大优点:支持动态更新,不用重启服务;加入了防火墙的“zone”概念。Firewall提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4,IPV6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的system-config- firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。相反, firewall daemon动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。firewalld能动态修改单条规则,不像iptables,修改规则后必须全部刷新才能生效。firewalld在使用上要比iptables人性化很多。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。

一:rewalld防火墙基础

1.1:Firewalld概述

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

  • 支持IPv4、IPv6防火墙设置以及以太网桥

  • 支持服务或应用程序直接添加防火墙规则接口

  • 拥有两种配置模式

1、运行时配置
2、永久配置

1.2:Firewalld和iptables的关系

1、netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

2、Firewalld/iptables

  • CentOS7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态"

1.3:Firewalld和iptables的区别

Firewalld iptables
配置文件 /usr/lib/firewalld/ (用户管理) /etc/firewalld (服务本身配置) 需要全部刷新策略,丢失连接
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙

1.4:Firewalld网络区域

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
  • 默认情况下,public区域是默认区域,包含所有接口(网卡) .

1.5:Firewalld数据处理流程

Firewalld数据处理流程,检查数据来源的源地址

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域,并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

1.6:区域的分类

区域默认 规则策略
trusted 允许所有的数据包流入与流出
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
interna l等同于home区域
work 拒绝流入的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除

你可能感兴趣的:(防火墙,linux,内核,防火墙,运维,安全)