Centos 7防火墙基础——理论篇
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Centos 7防火墙基础——理论篇相关的知识,希望对你有一定的参考价值。
Centos 7防火墙基础——理论篇理论结构:
- Firewalld概述
- Firewalld和iptables的关系
- Firewalld网络区域
- Firewalld防火墙的配置方法
Firewalld概述
支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具
支持IPV4、IPV6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种不同的配置模式
运行时配置
永久配置
Firewalld和iptables的关系
netfilter
? 位于Linux内核的过滤的工具;
? 被称为Linux防火墙的“内核态”
Firewalld/iptables
? Centos 7中默认管理防火墙规则的工具;
? 被称为Linux防火墙的“用户态”
Firewalld和iptables的区别
Firwalld | Iptables | |
---|---|---|
配置文件 | /usr/lib/firewalld/、/etc/firewalld/ | /etc/sysconfig/iptables |
对规则的修改 | 不要全部刷新策略、不丢失现行连接 | 策略全部刷新、丢失连接 |
类型 | 动态防火墙 | 静态防火墙 |
Firewalld网络区域
全部相关区域介绍:
区域 | 描述 |
---|---|
drop(丢弃) | 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接 |
block(限制) | 任何接收的网络连接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝 |
public(公共)——默认 | 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接 |
external(外部) | 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接 |
dmz(非军事区) | 用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入您的内部网络,仅仅接收经过选择的连接 |
work(工作) | 用于工作区域。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接 |
home(家庭) | 用于家庭网络。您可以基本相信网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接 |
internal(内部) | 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接 |
trusted(信任) | 可接受所有的网络连接 |
NAT 一对一进行私网地址转公网地址
PAT 多对一进行私网地址转公网地址(以端口进行区分)
? 好处:有效节约IP地址资源
Firewalld防火墙配置方法
检查数据来源地址:
1.若源地址关联到特定的区域,则执行该区域所制定的规则
2.若源地址未关联到特定区域,则使用传入网络接口的区域并执行该区域所制定的规则
3.若网络接口未关联到特定的区域,则使用默认区域所指定的规则**
运行时配置:
1.实时生效,并持续至Firewalld重新启动或重新加载配置
2.不中断现有链接
3.不能修改服务配置
永久配置:
1.不立即生效,除非Firewalld重新启动或重新加载配置
2.终端现有连接
3.可以修改服务配置
Firewalld中的配置文件
? Firewalld会优先使用/etc/firewalld/
中的配置,如果该目录不存在配置文件则通过/usr/lib/firewalld/
目录进行拷贝。
? /etc/firewalld/ : 用户自定义配置文件。
? /usr/lib/firewalld/ : 默认配置文件,最好不要进行修改。若想恢复至默认配置,可直接删除/etc/firewalld/
中的配置。
以上是关于Centos 7防火墙基础——理论篇的主要内容,如果未能解决你的问题,请参考以下文章