防火墙基础--firewalld的详细介绍与项目实操

标签: 网络

1.firewalld 概述

1)firewalld特点

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具;
  • 支持IPv4、IPv6 防火墙设置以及以太网桥;
  • 支持服务或应用程序直接添加防火墙规则接口;
  • 拥有两种配置模式runtime和permanent

2)firewalld的配置模式如下

  • 运行时配置(runtime)
    指正在运行生效的状态,在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者再重启系统后这些规则将会失效,不能修改服务配置
  • 永久配置(permanent)
    指永久生效的状态,在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效,可以修改服务配置

1.1 区域的概念

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口;
  • firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口条件等将流量传入相应区域,每个区域都定义了自己打开或关闭的端口和服务列表。
  • firewalld默认区域为public区域。

firewalld防火墙预定义区域,如下表:

区域名称默认配置说明
Trusted(信任)允许所有的传入流量,可接受所有的网络连接
Home(家庭)允许与ssh、mdns、samba-client、ipp-client或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
Internal(内部)用于内部网络。默认值时与home区域相同
Work(工作)允许与ssh、ipp-client或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
Public(公共)允许与ssh或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
External(外部)允许与ssh 预定义服务匹配的传入流量,其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装
Dmz(非军事区)允许与ssh 预定义服务匹配的传入流量,其余均拒绝
Block(限制)拒绝所有传入流量
Drop(丢弃)丢弃所有传入流量

firewalld数据处理流程:

检查数据来源的源地址:

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域,并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

1.2 firewalld 和 iptales 的关系

netfilter 与 iptables 的主要区别如下:

  • netfilter:位于linux内核中的包过滤功能体系;被称为linux防火墙的“内核态”

  • firewalld/iptables:centos7 默认的管理防火墙规则的工具(firewalld),称为linux防火墙的“用户态”。在防火墙中,发挥作用的是netfilter(内核态),不可以直接管理,只能间接管理,使用firewalld或者iptables。

在这里插入图片描述

运作关系:

  • 使用工具或者操作去管理进程和服务;
  • 进程服务去控制封装的iptables命令,间接的去管理内核中的netfiler;
  • 真正能跟netfilter交互的是iptables,firewalld去管理iptables;

1.3 firewalld 和 iptales 的区别

区别firewalldiptables
配置文件/usr/lib/firewalld/ /etc/firewalldetc/firewalld /etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失连接
防火墙类型动态防火墙静态防火墙

注意:

  • CentOS 6 和CentOS 7 防火墙的区别
    centos7有firewalld,iptables;centos6是iptables

2.字符管理工具

2.1 firewall–cmd介绍

  • firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则;
  • 在使用firewall-cmd命令管理防火墙时,需要添加为永久生效的规则需在配置规则时添加–permanent选项(否则所有命令都是作用于runtime,运行时配置);
  • 如果让永久生效规则立即覆盖当前规则生效使用,还需要使用firewall-cmd --reload命令重新加载防火墙配置。

扩展:

  • firewall-config 是图形化工具
  • firewall-cmd 是字符命令

常用的firewall-cmd命令,如下表:

firewall–cmd命令说明
–get-zones查看所有区域也可以用–list-all-zones
–get-services查看支持的所有服务名称
–get-default-zone查看当前默认区域
–get-active-zones列出当前正在使用的区域及其对应的网卡接口
–get-zones列出所有可用区域
–get-zone-of-interface=ens33查看指定网卡所处的区域
–zone=区域 --query-service=服务查看指定区域中有没有相关的服务开放
–set-default-zone=区域设置该区域为默认区域(注意此命令会同时修改运行时配置和永久配置)
–add-source=ip/网段 --zone=区域将来自IP地址或网段的所有流量路由到指定区域,没有指定区域时使用默认区域
–remove-source=ip/网段 --zone=区域从指定区域中删除来自IP地址或网段的所有路由流量规则,没有指定区域时使用默认区域
–add-interface=接口 --zone=区域将来自该接口的所有流量都路由到指定区域,没有指定区域时使用默认区域
–change-interface=接口 --zone=区域将接口与指定区域关联,没有指定区域时使用默认区域
–list-all [–zone=区域]列出指定区域已配置接口、源、服务、端口信息。没有指定区域时使用默认区域
–add-service=服务 [–zone=区域]允许到该服务的流量通过指定区域,没有指定区域时使用默认区域
–remove-service=服务 [–zone=区域]从指定区域的允许列表中删除该服务,没有指定区域时使用默认区域
–add-port=端口 [–zone=区域]允许到该端口的流量通过指定区域,没有指定区域时使用默认区域
–remove-port=端口 [–zone=区域]从指定区域的允许列表中删除该端口,没有指定区域时使用默认区域
–list-services查看当前区域允许的服务
–reload重新加载配置文件

注意:表中“[ ]”表示可以省略,省略指定区域就表示使用默认区域。

2.2 区域管理

2.2.1 查看默认区域

[[email protected] ~]# firewall-cmd --get-default-zone
public

2.2.2 列出当前正在使用的区域及其对应的网卡接口

[[email protected] ~]# firewall-cmd --get-active-zone
public
  interfaces: ens33

[[email protected] ~]# firewall-cmd --permanent --zone=external --change-interface=ens33	//为网卡设置区域
[[email protected] ~]# firewall-cmd --reload

2.2.3 列出所有可用区域

[[email protected] ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

2.2.4 设置默认区域

[[email protected] ~]# firewall-cmd --set-default-zone=home
success
[[email protected] ~]# firewall-cmd --get-default-zone
home

2.3 服务管理

2.3.1 查看预定义服务

[[email protected] ~]# firewall-cmd --get-service

在这里插入图片描述

2.3.2 添加httpd服务到public区域

[[email protected] ~]# firewall-cmd --add-service=http --zone=public --permanent   
									  //加permanent是指永久配置,不加表示即时生效的临时配置
success
[[email protected] ~]# firewall-cmd --reload
success

2.3.3 查看public区域已设置规则

[[email protected] ~]# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

2.3.4 移除public区域的httpd服务

[[email protected] ~]# firewall-cmd --remove-service=httpd --permanent		//不指定区域表示使用默认区域
success
也可以同时添加多个服务
[[email protected] ~]# firewall-cmd --add-service=httpd --add-service=https
success

2.4 端口管理

2.4.1 允许TCP的3360端口到public区域

[[email protected] ~]# firewall-cmd --add-port=3360/tcp 
success
[[email protected] ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http https
  ports: 3360/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

2.4.2 从public区域将TCP的3360端口移除

[[email protected] ~]# firewall-cmd --remove-port=3360/tcp
success

2.4.3 允许某一范围的端口

[[email protected] ~]# firewall-cmd --add-port=2048-2050/udp 
success
[[email protected] ~]# firewall-cmd --list-ports	//查看加入的端口操作是否成功
2048-2050/udp

2.5 项目配置实例

  • 将默认区域设置为dmz,来自网络192.168.54.0/24的流量全部分配给 internal 区域,并且打开 internal 区域的80端口供用户访问
[[email protected] ~]# firewall-cmd --set-default-zone=dmz
success
[[email protected] ~]# firewall-cmd --add-source=192.168.54.0/24 --zone=internal --permanent
success
[[email protected] ~]# firewall-cmd --add-service=http --zone=internal --permanent
success
[[email protected] ~]# firewall-cmd --reload
success

如果使用firewalld的基本语法不够用,还可以添加富规则,设置针对某个服务、主机地址、端口号等等更加详细的规则策略,在所有的策略设置中的优先级也是最高的。

富规则添加实例:

[[email protected] ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source 
address="172.16.10.0/22" service name="ssh" reject"		//拒绝172.16.10.0/22网络用户访问ssh

3.图形管理工具

  • 除了字符管理工具外,firewalld防火墙还提供了图形管理工具 firewall-config ,可用于查看和更改 firewalld 防火墙正在运行时的配置和永久配置,可以使用 firewall-config 软件包进行安装使用;
  • 安装好后,使用 firewall-config 命令启动图形管理工具,启动界面如下图:

在这里插入图片描述

3.1 设置为临时或永久

在这里插入图片描述

3.2 图形界面工具中选项窗口

3.2.1 重载防火墙

  • 设置新的防火墙规则,并设置为永久时,我们需要使用“firewall-cmd --reload”重载防火墙,在图形界面设置如图所示

在这里插入图片描述

3.2.2 关联网卡到指定区域

在这里插入图片描述

3.2.3 修改默认区域

在这里插入图片描述

3.3 区域选项卡

在这里插入图片描述

3.4 图形管理工具项目实例

  • 服务机192.168.100.120充当防火墙服务机

服务机配置如下:

[[email protected] ~]# systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2020-07-28 10:12
[[email protected] ~]# rpm -q httpd
httpd-2.4.6-93.el7.centos.x86_64
[[email protected] ~]# systemctl start httpd

3.4.1 把来源加入work区域

在这里插入图片描述
在这里插入图片描述

3.4.2 配置work区域

  • 关闭ICMP协议,关闭ping的请求与回复

在这里插入图片描述

  • 开启ssh服务供192.168.100.130访问

在这里插入图片描述

  • 开启http服务供来源页面访问

在这里插入图片描述

  • 验证防火墙

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.4.3 配置public

  • 关闭ssh

在这里插入图片描述

  • 开启http

在这里插入图片描述

  • 关闭ping 功能

在这里插入图片描述

  • 验证防火墙
    把客户机192.168.100.130换个地址,不在work区域内,匹配到public区域

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

版权声明:本文为weixin_42449832原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42449832/article/details/109773107

智能推荐

phpstudy的mysql版本升级至5.7

phpstudy安装的mysql版本一般都是5.5或5.4的,但是有时候做项目又必须用到mysql5.7版本,所以我们现在来看一下如何在phpstudy的环境下将mysql版本升级至5.7   温馨提醒: 先删掉所有环境变量,如果是之前有的话,不然怎么安装cmd上指向的还是原来的版本。安装完再设新的环境变量。 并且卸载掉mysqld服务mysqld remove。如果不先删除的话,可能会...

RIP/DHCP/ACL综合实验

组播: 加入组的组成员才会接受到消息,只需要将流量发送一次到组播地址 减少控制面流量,减少头部复制, RIP1  广播   有类  不支持认证 RIP2  组播   无类  (支持VLAN)、支持认证 所有距离矢量路由协议:具有距离矢量特征的协议,都会在边界自动汇总 控制平面  路由的产生是控制平面的流量 数据平面  ...

【Sublime】使用 Sublime 工具时运行python文件

使用 Sublime 工具时报Decode error - output not utf-8解决办法   在菜单中tools中第四项编译系统 内最后一项增添新的编译系统 自动新建 Python.sublime-build文件,并添加"encoding":"cp936"这一行,保存即可 使用python2 则注释encoding改为utf-8 ctr...

java乐观锁和悲观锁最底层的实现

1. CAS实现的乐观锁 CAS(Compare And Swap 比较并且替换)是乐观锁的一种实现方式,是一种轻量级锁,JUC 中很多工具类的实现就是基于 CAS 的,也可以理解为自旋锁 JUC是指import java.util.concurrent下面的包, 比如:import java.util.concurrent.atomic.AtomicInteger; 最终实现是汇编指令:lock...

Python 中各种imread函数的区别与联系

  原博客:https://blog.csdn.net/renelian1572/article/details/78761278 最近一直在用python做图像处理相关的东西,被各种imread函数搞得很头疼,因此今天决定将这些imread总结一下,以免以后因此犯些愚蠢的错误。如果你正好也对此感到困惑可以看下这篇总结。当然,要了解具体的细节,还是应该 read the fuc...

猜你喜欢

用栈判断一个字符串是否平衡

注: (1)本文定义:左符号:‘(’、‘[’、‘{’…… 右符号:‘)’、‘]’、‘}’……. (2)所谓的字符串的符号平衡,是指字符串中的左符号与右符号对应且相等,如字符串中的如‘(&r...

JAVA环境变量配置

位置 计算机->属性->高级系统设置->环境变量 方式一 用户变量新建path 系统变量新建classpath 方式二 系统变量 新建JAVA_HOME,值为JDK路径 编辑path,前加 方式三 用户变量新建JAVA_HOME 此路径含lib、bin、jre等文件夹。后运行tomcat,eclipse等需此变量,故最好设。 用户变量编辑Path,前加 系统可在任何路径识别jav...

常用的伪类选择器

CSS选择器众多 CSS选择器及权重计算 最常用的莫过于类选择器,其它的相对用的就不会那么多了,当然属性选择器和为类选择器用的也会比较多,这里我们就常用的伪类选择器来讲一讲。 什么是伪类选择器? CSS伪类是用来添加一些选择器的特殊效果。 常用的为类选择器 状态伪类 我们中最常见的为类选择器就是a标签(链接)上的为类选择器。 当我们使用它们的时候,需要遵循一定的顺序问题,否则将可能出现bug 注意...

ButterKnife的使用介绍及原理探究(六)

前面分析了ButterKnife的源码,了解其实现原理,那么就将原理运用于实践吧。 github地址:       点击打开链接 一、自定义注解 这里为了便于理解,只提供BindView注解。 二、添加注解处理器 添加ViewInjectProcessor注解处理器,看代码, 这里分别实现了init、getSupportedAnnotationTypes、g...

1.写一个程序,提示输入两个字符串,然后进行比较,输出较小的字符串。考试复习题库1|要求:只能使用单字符比较操作。

1.写一个程序,提示输入两个字符串,然后进行比较,输出较小的字符串。 要求只能使用单字符比较操作。 参考代码: 实验结果截图:...