1、Firewalld概述
linux系统防火墙,工作在网络层,是从centos7开始的默认防火墙,属于包过滤防火墙。
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。
- 内核态:netfilter
- 用户态:firewalld
2、Firewalld和iptables的关系
| Firewalld | iptables | |
| 配置文件 | /etc/firewalld 优先加载 /usr/lib/firewalld 默认初始配 置 | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不中断现行连接 | 立即生效,可能丢失现行连接 |
| 防火墙类型 | 动态防火墙(可在不同区域设置不同规则,可通过更换区域来更换防护策略) | 静态防火墙(所有规则都是配置在表的链里,只能通过修改规则;来更换防护策略) |
3、Firewalld网络区域
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
firewalld九大预定义区域
| public(公共区域) | 初始的默认区域 |
| dmz(非军事区域) | 可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口 |
| work(工作区域) | 允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝 |
| internal(内部区域) | 默认值时与home区域相同 |
| extornal(外部区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。 |
| trusted(信任区域) | 接受所有传入的网络连接 |
| block(限制区域) | 所有传入的网络连接都被拒绝,只允许传出的网络连接 |
| drop(丢弃区域) | 丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接 |
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)
4、Firewalld数据包处理规则
要激活某个区域,需要先将区域与源地址或网卡接口关联绑定(一个区域可以关联绑定多个源地址和网卡接口,一个源地址或网卡接口只能关联绑定一个区域)
先检查传入数据的源地址,若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数 据包;
若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特 定区域的规则过滤处理数据包;
若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处 理数据包;
5、Firewalld命令行操作
firewalld防火墙的配置方法:
1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。
(1)查
firewalld-cmd --get-default-zone :查看当前默认区域
--get-active-zones :查看当前已激活的区域
--get-zones :查看所有可用的区域
--list-all-zones :查看所有区域的规则
--list-all --zone=区域名 :查看指定区域的规则
--list-ports --zone=区域名 :查看指定区域允许访问的端口列表
--list-services --zone=区域名:查看指定区域允许访问的服务列表
--get-zone-of-interface=网卡名:查看与网卡绑定的区域
(2)增
增
firewall-cmd --add-interface=网卡名 --zone=区域名 给指定区域添加绑定的网卡
--add-source=源地址 --zone=区域名 给指定区域添加源地址
--add-service=服务名 --zone=区域名 给指定区域添加允许访问的服务
--add-service={服务名1,服务名2,...} --zone=区域名 给指定区域添加允许访问的服务列表
--add-port=端口/协议 --zone=区域名 给指定区域添加允许访问的端口
--add-port=端口1-端口2/协议 --zone=区域名 给指定区域添加允许访问的连续的端口列表
--add-port={端口1,端口2,...}/协议 --zone=区域名 给指定区域添加允许访问的不连续的端口
--add-icmp-block=icmp类型 --zone=区域名 给指定区域添加拒绝访问的icmp类型
(3)删
firewall-cmd --remove-service=服务名 --zone=区域名
--remove-port=端口/协议 --zone=区域名
--remove-icmp-block=icmp类型 --zone=区域名
--remove-interface=网卡名 --zone=区域名 从指定区域里删除绑定的网卡
--remove-source=源地址 --zone=区域名 从指定区域里删除绑定的源地址
(4)改
firewall-cmd --set-default-zone 修改当前默认区域
--change-interface=网卡名 --zone=区域名 修改/添加网卡 绑定给指定区域
--change-source=源地址 --zone=区域名 修改/添加源地址 绑定给指定区域
运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)
firewall-cmd ....
firewall-cmd --runtime-to-permanent 将之前的运行时配置都转换成永久配置
永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)
firewall-cmd .... --permanent
firewall-cmd --reload 或 systemctl restart firewalld