首页 > 其他分享 >Firewalld防火墙

Firewalld防火墙

时间:2024-05-23 22:54:20浏览次数:18  
标签:源地址 zone firewalld -- Firewalld 防火墙 网卡 区域

1、Firewalld概述

linux系统防火墙,工作在网络层,是从centos7开始的默认防火墙,属于包过滤防火墙。

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。

  • 内核态:netfilter
  • 用户态:firewalld

2、Firewalld和iptables的关系

Firewalldiptables
配置文件

/etc/firewalld          优先加载  

 /usr/lib/firewalld   默认初始配  置
 

  /etc/sysconfig/iptables
 
对规则的修改不需要全部刷新策略,不中断现行连接  立即生效,可能丢失现行连接
 
防火墙类型动态防火墙(可在不同区域设置不同规则,可通过更换区域来更换防护策略)静态防火墙(所有规则都是配置在表的链里,只能通过修改规则;来更换防护策略)
        

 

 

3、Firewalld网络区域

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld九大预定义区域

public(公共区域)初始的默认区域
dmz(非军事区域)可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口
 
work(工作区域)允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal(内部区域)
默认值时与home区域相同
 
extornal(外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
trusted(信任区域)接受所有传入的网络连接
 
block(限制区域)所有传入的网络连接都被拒绝,只允许传出的网络连接
 
drop(丢弃区域)丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接
 

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)

4、Firewalld数据包处理规则

要激活某个区域,需要先将区域与源地址或网卡接口关联绑定(一个区域可以关联绑定多个源地址和网卡接口,一个源地址或网卡接口只能关联绑定一个区域)
先检查传入数据的源地址,若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数                                              据包;
                                           若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特                                             定区域的规则过滤处理数据包;
                                            若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处                                              理数据包;

5、Firewalld命令行操作

firewalld防火墙的配置方法:
1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。

(1)查

firewalld-cmd --get-default-zone              :查看当前默认区域
                         --get-active-zones               :查看当前已激活的区域
                         --get-zones                          :查看所有可用的区域
                         --list-all-zones                     :查看所有区域的规则
                         --list-all --zone=区域名       :查看指定区域的规则
                         --list-ports --zone=区域名  :查看指定区域允许访问的端口列表
                         --list-services --zone=区域名:查看指定区域允许访问的服务列表
                         --get-zone-of-interface=网卡名:查看与网卡绑定的区域

(2)增


firewall-cmd --add-interface=网卡名 --zone=区域名                    给指定区域添加绑定的网卡
             --add-source=源地址 --zone=区域名                       给指定区域添加源地址
             --add-service=服务名 --zone=区域名                      给指定区域添加允许访问的服务
             --add-service={服务名1,服务名2,...} --zone=区域名       给指定区域添加允许访问的服务列表
             --add-port=端口/协议 --zone=区域名                      给指定区域添加允许访问的端口
             --add-port=端口1-端口2/协议 --zone=区域名               给指定区域添加允许访问的连续的端口列表
             --add-port={端口1,端口2,...}/协议 --zone=区域名         给指定区域添加允许访问的不连续的端口
             --add-icmp-block=icmp类型 --zone=区域名                 给指定区域添加拒绝访问的icmp类型

(3)删

firewall-cmd --remove-service=服务名 --zone=区域名  
             --remove-port=端口/协议 --zone=区域名
             --remove-icmp-block=icmp类型 --zone=区域名
             --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
             --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

(4)改

firewall-cmd --set-default-zone                            修改当前默认区域
             --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
             --change-source=源地址 --zone=区域名          修改/添加源地址 绑定给指定区域

运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)
firewall-cmd ....
firewall-cmd --runtime-to-permanent       将之前的运行时配置都转换成永久配置

永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)
firewall-cmd ....  --permanent
firewall-cmd --reload   或   systemctl restart firewalld

标签:源地址,zone,firewalld,--,Firewalld,防火墙,网卡,区域
From: https://blog.csdn.net/zx52306/article/details/139150156

相关文章

  • iptables防火墙SNAT策略和DNAT策略
    目录1.SNAT策略及应用(1)SNAT原理与应用:(2)SNAT转换(1)前提条件:(2)实现方法:2.DNAT策略及应用(1)DNAT原理与应用:(2)DNAT转换(1)前提条件:(2)实现方法:1.SNAT策略及应用(1)SNAT原理与应用:SNAT应用环境:局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)SNAT原理:修改数据包的......
  • linux中的firewalld防火墙配置
    一直想写一篇关于firewalld的博客,奈何最近事情多也加上一部分家庭的事情,导致没有闲情雅致来进行博客的更新。0.序言写这么一篇文章的用处是用于加强linux主机的安全,在很多linux博客文章,一些人上来就哐叽一下让吧firewalld功能给关闭,这是一种不负责人的做法,也是一种不安全的做......
  • 老板看过来:防火墙不是万能的,数据安全你得这么管
    在信息技术不断进步的今天,企业的数据安全管理愈加重要。很多企业的老板可能会认为,只要有了防火墙,公司的数据就能安全无忧。然而,防火墙虽然是重要的第一道防线,但它并不是万能的。数据安全管理是一个全面的系统工程,需要从多个角度出发,才能真正保护企业的数据资产。以下是一些关键的......
  • 在Linux中,如何配置防火墙和安全规则?
    在Linux中,配置防火墙和安全规则通常涉及使用iptables或较新的firewalld工具。以下是使用这两种工具的基本步骤和概念:1.使用iptables配置防火墙规则iptables是Linux内核的Netfilter框架的一部分,用于配置防火墙规则。它通过一系列链(chains)和规则(rules)来决定数据包的处理方式(如允......
  • 配置cisco asa 5525k9防火墙的日志保存到服务器
    配置ciscoasa5525k9防火墙的日志信息日志信息可以输出到LogBuffer(日志缓冲区)、ASDM和日志服务器。1.配置Logbuffer: loggingenable #启用日志功能 loggingbufferedinformational  #Cisco日志等级一共分为8级,0级最高,7级最低 showlogging  #查看LogBuff......
  • 【运维系列】-- Centos7 防火墙
    一、介绍在centos7中,有几种防火墙共存:firewald,iptables.默认情况下,CentOS是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables二、firewalld和iptables区别firewalld可以动态修改单挑规则,而不像iptables那样,在修改了规则后必须全部刷新才可以生效......
  • checkpoint防火墙测试授权申请
    本文介绍如何在线申请checkpoint防火墙的测试授权请先确保已注册官网账号并能正常登录ProductCenter,并安装好checkpoint并配置好管理IP(授权申请需要用到设备IP地址,不需要连网)(官网账号最好使用公司邮箱申请)ProductCenter链接正常登录后可看到如下图内容其中selecta......
  • Windows防火墙的注册表清理 ,可能需要清理的与Windows防火墙相关的注册表项及其路径:
    针对Windows防火墙的注册表清理的底层原理涉及到Windows操作系统中的注册表和防火墙配置:注册表:Windows操作系统中的注册表是一个重要的系统数据库,用于存储系统和应用程序的配置信息。在注册表中,包含了各种设置和选项,包括网络和防火墙配置。Windows防火墙:Windows操作系统......
  • Docker 桥接模式下端口映射会绕过防火墙
    问题描述使用Docker桥接模式启动了一个MySQL容器查看防火墙发现并未开启3306端口,但该宿主机3306端口仍能被第三方机器访问telnet152.51.32.113306 问题本质Docker在进行端口映射时,已经自动使用iptables命令修改了防火墙规则;并且这个规则不会被ufw显示、管理;甚至插入的......
  • FTP主动模式和被动模式(2)- 防火墙对FTP的影响 ASPF
    防火墙对FTP的影响ASPF多通道协议应用层程序有些使用的是单通道协议,有些使用的是多通道协议。单通道协议例如http协议,整个协议交互过程中,服务端和客户端只建立一个连接,并且服务端固定使用一个端口,例如80端口,这种一般为单通道协议;防火墙一般都需要配置精细的安全策略对数据......