目录
1.Firewalld概述
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。
2.Firewalld和iptables的关系及区别
(1)firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
(2)firewalld 与 iptables 的区别:
①iptables主要是基于接口,来设置规则,从而判断网络的安全性。
firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
②iptables 在 /etc/sysconfig/iptables 中储存配置,
firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
③使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。(规则修改后会立即生效)
使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内, 改变设置而不丢失现行连接。
④iptables 防火墙类型为静态防火墙
firewalld 防火墙类型为动态防火墙
| 区别 | firewalld | iptables |
|---|---|---|
| 配置文件 | /etc/firewalld/ (优先加载,保存用户自定义的配置) ; /usr/lib/firewalld/ (默认的初始配置) | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不中断现有连接 | 立即生效,可能中断现有连接 |
| 防火墙类型 | 动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略) | 静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略) |
3.Firewalld网络区域
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
(1)firewalld防火墙预定义了9个区域
| 区域 | |
|---|---|
| trusted(信任区域) | 允许所有的传入流量 |
| public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域 |
| external(外部区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝 |
| internal(内部区域) | 默认值时与home区域相同 |
| work(工作区域) | 允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝 |
| dmz(隔离区域也称为非军事区域) | 可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口 |
| block(限制区域) | 所有传入的网络连接都被拒绝,只允许传出的网络连接 |
| drop(丢弃区域) | 丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接 |
默认情况下,public区域是默认区域,包含所有接口(网卡)
(2)firewalld 数据包处理原则
要激活某个区域,
需要先将区域与 源地址或网卡接口 关联绑定(一个区域可以关联绑定多个源地址或网卡接口,一个源地址或网卡接口只能关联绑定一个区域)
先检查传入数据包的源地址,
若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数据包
若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特定区域的规则过滤处理数据包
若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处理数据包
4.Firewalld防火墙的配置方法
(1)运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)
firewall-cmd ....
firewall-cmd --runtime-to-permanent 将之前的运行时配置都转换成永久配置
查
firewall-cmd --get-default-zone ##查看当前默认区域
--get-active-zones ##查看当前已激活的区域
--get-zones ## 查看所有可用的区域
--list-all-zones ##查看所有区域的规则
--list-all --zone=区域名 ##查看指定区域的规则
--list-services --zone=区域名 ##查看指定区域允许访问的服务列表
--list-ports --zone=区域名 ##查看指定区域允许访问的端口列表
--get-zone-of-interface=网卡名 ##查看与网卡绑定的区域
--get-icmptypes ## 查看所有icmp类型
增
firewall-cmd --add-interface=网卡名 --zone=区域名 ##给指定区域添加绑定的网卡
--add-source=源地址 --zone=区域名 ## 给指定区域添加源地址
--add-service=服务名 --zone=区域名 ## 给指定区域添加允许访问的服务
--add-service={服务名1,服务名2,...} --zone=区域名 ## 给指定区域添加允许访问的服务列表
--add-port=端口/协议 --zone=区域名 ##给指定区域添加允许访问的端口
--add-port=端口1-端口2/协议 --zone=区域名 ##给指定区域添加允许访问的连续的端口列表
--add-port={端口1,端口2,...}/协议 --zone=区域名 ## 给指定区域添加允许访问的不连续的端口
--add-icmp-block=icmp类型 --zone=区域名 ##给指定区域添加拒绝访问的icmp类型
删
firewall-cmd --remove-service=服务名 --zone=区域名
--remove-port=端口/协议 --zone=区域名
--remove-icmp-block=icmp类型 --zone=区域名
--remove-interface=网卡名 --zone=区域名 从指定区域里删除绑定的网卡
--remove-source=源地址 --zone=区域名 从指定区域里删除绑定的源地址
改
firewall-cmd --set-default-zone 修改当前默认区域
--change-interface=网卡名 --zone=区域名 修改/添加网卡 绑定给指定区域
--change-source=源地址 --zone=区域名 修改/添加源地址 绑定给指定区域
(2)永久配置
不立即生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置
永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)
firewall-cmd .... --permanent
firewall-cmd --reload ##重新加载
systemctl restart firewalld ##重启
文件在
cd /etc/firewalld/zones/
vim 区域名.xml
firewall-cmd --runtime-to-permanent ##将当前的运行时配置写入规则配置文件中,使之成为永久性配置
设置地址转换
