firewalld防火墻概述及字符管理工具

內容要點：

• firewalld概述

• firewalld和iptables的關系

• firewalld網絡區域

• firewalld防火墻的配置方法

• firewalld-config圖形工具

一、firewalld概述

firewalld簡介：

• 支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火墻管理工具

• 支持IPv4、IPv6防火墻設置以及以太網橋

• 支持服務或應用程序直接添加防火墻規則接口

• 擁有兩種配置模式

• 運行時配置（重啟后則設置不再生效）

• 永久配置（聲明于配置文件中）

二、Firewalld和iptables的關系

?netfilter

• 位于Linux內核中的包過濾功能體系

• 稱為Linux防火墻的“內核態”

Firewalld/iptables

• CentOS7默認的管理防火墻規則的工具(Firewalld)

• 稱為Linux防火墻的“用戶態”

三、網絡區域

區域介紹（默認區域為public）

區域如同進入主機的安全門，每個區域都具有不同限制程度的規則

可以使用一個或多個區域,但是任何一一個活躍區域至少需要關聯源地址或接口

默認情況下，public區 域是默認區域，包含所有接口(網卡)

firewalld數據處理流程

• 檢查數據來源的源地址

• 若源地址關聯到特定的區域，則執行該區域所指定的規則

• 若源地址未關聯到特定的區域，則使用傳入網絡接口的區域并執行該區域所指定的規則

• 若網絡接口未關聯到特定的區域，則使用默認區域并執行該區域所指定的規則

四、firewalld防火墻的配置方法

運行時配置

• 實時生效，并持續至Firewalld重新啟動或重新加載配置

• 不中斷現有連接

• 不能修改服務配置

永久配置

• 不立即生效，除非Firewalld重新啟動或重新加載配置

• 中斷現有連接

• 可以修改服務配置

firewall-config圖形工具

• 運行時配置/永久配置

• 重新加載防火墻

• 更改永久配置并生效?

• 關聯網卡到指定區域

• 修改默認區域

• 連接狀態

  

  

  
  

firewall-cmd命令行工具

1、啟動、停止、查看firewalld服務

在安裝Cent0S7 系統時，會自動安裝firewalld 和圖形化工具firewall-config。 執行以下命令可以啟動firewalld 并設置為開機自啟動狀態。

[root@localhost?~]#?systemctl?start?firewalld?//啟動firemal1d
[root@localhost?~]#?systemctl?enable?firewalld?//設置firewalld為開機自啟動
如果firewalld正在運行，通過systemctl?status?firewalld?或firewall-cmd?命令可以查看其運行狀態。
[root@localhost?~]#?systemctl?status?firewalld
[root@1ocalhost?~]#?systemct1?stop?firewalld?//停止firewal1d
[root@localhost?~]#?systemct1?disable?firewalld?//設置firewalld開機不自啟動

2、獲取預定義信息

firewall-cmd預定義信息主要包括三種:可用的區域、可用的服務以及可用的ICMP阻塞類型，具體的查看命令如下所示。

[root@localhost?~]#?firewall-cmd?--get-zones?//顯示預定義的區域
work?drop?internal?external?trusted?home?dmz?public?block
[root@localhost?~]#?firewall-cmd?-?get?service?//顯示預定義的服務
RH-?Sate1ite-6?amanda-client?amanda?-k5-client?bacul?abacula-client?cephcephmondhcp?dhcpv6?dhcpv6-client?dnsdocker-?registrx?dropbox-lansyncfreeipa-1dap
.......
[root@localhost?~]#?firewall-cmd?--get-icmptypes?//顯示預定義的ICMP?類型
destinatian-unreachable?echo-reply?echo-request?parameter-problem?redirect?router-advertisement?router-solici?tati?on?source-?quench?time-exceeded?timest?amp-?reply?timestamp-request

firewall-cmd --get-icmptypes命令的執行結果中各種阻塞類型的含義分別如下所示。

destination-unreachable:目的地址不可達。
echo-reply:?應答回應(pong)?。
parameter-problem:參數問題。
redirect:?重新定向。
router-?advertisement：路由器通告。
router-?solicitation：路由器征尋。
source-quench：源端抑制。
time-exceeded:：超時。
timestamp-reply:：時間戳應答回應。
timestamp-request：時間戳請求。

3、區域管理

4、firewalld端口操作命令

5、firewalld阻塞ICMP操作命令

6、兩種配置模式

--reload:?重新加載防火墻規則并保持狀態信息，即將永久配置應用為運行時配置。
--permanent:：帶有此選項的命令用于設置永久性規則，這些規則只有在重新啟動firewalld或重新加載防火墻規則時才會生效;若不帶有此選項，表示用于設置運行時規則。
--runtime-to-permanent：將當前的運行時配置寫入規則配置文件中，使之成為永久性

/etc/firewalld/中的配置文件

• Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件。

• /etc/firewalld/ ：用戶自定義配置文件,需要時可通過從usr/lib/firewalld/中拷貝

• /usr/lib/firewalld/:默認配置文件，不建議修改，若恢復至默認配置，可直接刪除/etcfirewalld/中的配置