Firewalld防火墙基础

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Firewalld防火墙基础相关的知识,希望对你有一定的参考价值。

Firewalld防火墙基础``

Firewalld概述

Firewalld简介

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

支持IPv4、IPv6防火墙设置以及以太网桥

支持服务或应用程序直接添加防火墙规则接口

拥有两种配置模式

? 运行时配置

? 永久配置

Firewalld和iptables的关系

netfilter

位于Linux内核中的包过滤功能体系

称为Linux防火墙的“内核态”

Firewalld/iptables

CentOS7默认的管理防火墙规则的工具

称为Linux防火墙的“用户态”
技术图片

Firewalld和iptables的区别

技术图片

Firewalld网络区域

区域介绍
技术图片
其中在不对网卡调整时。public为默认模式

区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
默认情况下,public区域是默认区域,包含所有接口(网卡)

Firewalld数据处理流程

检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置

永久配置

不立即生效,除非Firewalld重新启动或重新加载配置
终端现有连接
可以修改服务配置

Firewall-config图形工具

运行时配置/永久配置
重新加载防火墙
更改永久配置并生效(关联网卡到指定区域)
修改默认区域
连接状态
技术图片

区域选项卡内容
1.“服务” 子选项卡
2.“端口”子选项卡
3.“协议”子选项卡
4.“源端口”子选项卡
5.“伪装”子选项卡
6.“端口转发”子选项卡
7.“ICMP过滤器”子选项卡

服务选项卡
1.“模块”子选项卡
2.“目标地址”子选项卡

Firewalld防火墙案例

需求描述:
禁止主机ping服务器
只允许192.168.131.129主机访问SSH服务
允许所有主机访问Apache服务
在终端使用命令:firewall-config 进入firewall的图形化界面
技术图片
只允许192.168.131.129访问SSH服务的设置
在区域的选项卡中选择work,再选择子选项卡“来源”,在其中添加允许访问SSH服务主机的IP地址192.168.131.129
在区域的选项卡中选择work,勾选ssh与dhcp并去除dhcpv6-clicent,之后再public(公共区域)中去除ssh选项
技术图片

允许所有主机访问Apache服务配置
在区域的选项卡中选择public(公共区域),勾选dhcp并去除dhcpv6-clicent

禁止主机ping服务器配置
在work的ICMP过滤器选项中勾选echo-request
在public(公共区域)的ICMP过滤器选项中勾选echo-reply
技术图片
技术图片

以上是关于Firewalld防火墙基础的主要内容,如果未能解决你的问题,请参考以下文章

LInux防火墙Firewalld基础详细解读

通过区域设置不同规则 Firewalld防火墙基础

Firewalld防火墙基础

Firewalld防火墙基础详解

Centos 7的Firewalld防火墙基础

Linux防火墙基础(Firewalld命令的使用)