Firewalld防火墙基础
文章目录
一、概述
1.1 安全技术简述
硬防:
-
入侵检测系统(Intrusion Detection Systems):,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署方式。
-
入侵防御系统(Intrusion Prevention System)::阻断溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞。
软防:
- 防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件。
补充:
防水墙
广泛意义上的防水墙:防水墙(Waterwall),与防火墙相对,是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事 中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。
1.2防火墙分类
| 按保护范围划分 | 网络防火墙:服务范围为防火墙一侧的局域网 | 主机防火墙:服务范围为当前一台主机 |
|---|---|---|
| 按实现方式划分: | **硬件防火墙:**在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 绿盟,深信服,等 | **软件防火墙:**运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront |
| 按网络协议划分: | 网络层防火墙:OSI模型下四层,又称为包过滤防火墙 | 应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层 |
1.3firewalld、iptables——防火墙工具
firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
-
支持IPv4、IPv6防火墙设置以及以太网桥
-
支持服务或应用程序直接添加防火墙规则接口
-
拥有两种配置模式:临时模式、永久模式
firewalld和iptables都是用来管理防火墙的工具(非防火墙)(属于用户态),来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(防火墙)(属于内核态)来实现包过滤防火墙功能。
firewalld、iptables提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
二、Firewalld和iptables的关系
2.1 Firewalld和iptables的关系
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
Firewalld/iptables
4、防火墙类型不同:
3 Firewalld区域
3.1 firewalld区域的概念
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
-
CentOS7默认的管理防火墙规则的工具(Firewalld)
-
称为Linux防火墙的“用户态”
-
使用iptables每一个单独更改,意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则。
-
使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。
-
iptables防火墙类型为静态防火墙
-
firewalld防火墙类型为动态防火墙
这些区域配置文件存在于/usr/lib/firewalld/zones目录中,还有一个目录/etc/firewalld/zones。firewalld使用规则时,会首先到/etc/firewalld/目录中查找,如果可以找到就直接使用,找不到会继续到/usr/lib/firewalld/目录中查找。
3.2 firewalld防火墙定义了9个区域
| 区域 | 作用 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量。 |
| public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。 |
| external(外部区域) | 允许与ssh预定义服务匹配的传入流量其余均拒绝 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。 |
| internal(内部区域) | 默认值与home区域相同。 |
| work(工作区域) | 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝 |
| dmz(隔离区域也称非军事区域) | 允许与ssh预定义服务匹配的传入流量,其他均拒绝。 |
| block(限制区域) | 拒绝所有传入流量。 |
| drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含icmp的错误响应。 |
3.3 firewalld区域介绍和区域优先级
firewalld区域介绍
-
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
-
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
-
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
-
默认情况下,public区域是默认区域,包含所有接口(网卡)。
firewalld数据处理流程
检查数据来源的源地址:
-
若源地址关联到特定的区域,则执行该区域所指定的规则
-
若源地址未关联到特定的区域,则使用传入网络接口的区域 并执行该区域所指定的规则
-
若网络接口未关联到特定的区域,则使用默认区域并执行该 区域所指定的规则
区域优先级:源地址绑定的区域 > 网卡绑定的区域 > 默认区域(只要没有绑定过指定区域的网卡,都适用于于默认区域的规则。默认区域可自定义,不修改则为public)
4 Firewalld防火墙的配置方法
1、firewall-config 图形化工具(生产环境一般只有字符界面,不使用这种方法)
2、firewall-cmd 命令行工具(生产环境中没有图形化界面,所以只能在命令行进行配置)
3、编写 /etc/firewalld 中的配置文件。
-
Firewalld 会优先使用
/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置。 -
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/ 中拷贝 -
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/ 中的配置
4.1 firewall-config 图形化工具
在命令行输入”firewall-config“,回车后会弹出图形化管理工具。生产环境一般只有字符界面,不使用这种方法。
4.2 firewall-cmd 命令行工具
常用的 firewall-cmd 命令选项:
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
#默认区域
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其网卡接口
--get-zones:显示所有可用的区域
#网络接口
--get-zone-of-interface=ens33 :查看指定接口ens33绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口
#源地址
--zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域
--zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址
#显示指定区域的所有规则
--list-all-zones :显示所有区域及其规则
--zone=<zone> --list-all :显示所有指定区域的所有规则,若不指定区域表示仅对默认的区域操作
#服务管理
--zone=<zone> --list-service :显示指定区域内允许访问的所有服务
--zone=<zone> --add-service=<service> :为指定的区域设置允许访问的某项服务
--zone=<zone> --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
#端口管理
--zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号
--zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号(包括协议)
--zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号(包括协议)
#icmp协议
--zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
--zone=<zone> --add-icmp-block=<icmptype>:为指定区域设置允许访问的某项icmp类型
--zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型
firealld-cmd --get-icmptypes :显示所有icmp类型
5 Firewalld两种配置模式
运行时配置:
- 实时生效,并持续至Firewalld重新启动或重新加载配置文件
- 不中断现有连接
- 不能修改服务器配置
永久配置:
- 不立即生效,除非Firewaddl重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
5.1 运行时配置(临时配置)
运行时配置,实时生效,不会中断现有连接。重启后丢失。
示例1:查看和设置默认区域
–get-default-zone :显示当前默认区域
–set-default-zone=< zone> :设置默认区域
–get-active-zones :显示当前正在使用的区域及其网卡接口
[root@ylocalhost ~]# firewall-cmd --get-default-zone //显示当前默认区域
public
[root@localhost ~]# firewall-cmd --get-active-zone //当前正在使用的区域及其网卡接口
public
interfaces: ens33
[root@localhost ~]# firewall-cmd --set-default-zone=home //将默认区域设置为home
success
[root@localhost ~]# firewall-cmd --get-default-zone //显示当前默认区域
home
[root@localhost ~]# firewall-cmd --set-default-zone=public //将默认区域设置为public
success
示例2:对指定网卡进行操作
add 增加绑定,change修改,remove 删除
#增加绑定
[root@localhost ~]# firewall-cmd --get-active-zone
public
interfaces: ens34 ens33
[root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33
The interface is under control of NetworkManager, setting zone to 'work'.
success
[root@localhost ~]# firewall-cmd --get-active-zone
work
interfaces: ens33
public
interfaces: ens36
#修改网卡绑定的区域
[root@localhost ~]# firewall-cmd --zone=home --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'home'.
success
[root@localhost ~]# firewall-cmd --get-active-zone
home
interfaces: ens33
public
interfaces: ens36
#删除网卡和区域的绑定关系
[root@localhost ~]# firewall-cmd --zone=home --remove-interface=ens33
The interface is under control of NetworkManager, setting zone to default.
success
[root@localhost ~]# firewall-cmd --get-active-zone
public
interfaces: ens33
示例3:对源地址进行操作
[root@localhost ~]# firewall-cmd --add-source=2.2.2.2 --zone=work //将源地址绑定到work区域
success
[root@localhost ~]# firewall-cmd --get-active-zone
work
sources: 2.2.2.2
public
interfaces: ens33 ens34
[root@localhost ~]# firewall-cmd --remove-source=2.2.2.2 --zone=work //删除源地址和work区域的绑定关系
success
[root@localhost ~]# firewall-cmd --get-active-zone
public
interfaces: ens33 ens36
示例4:查看指定区域的所有规则
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
firewall-cmd --list-all-zones:显示所有区域及其规则
firewall-cmd --list-all : 不指定区域时,查看的是默认区域
firewall-cmd --list-all --zone=work:显示work区域的所有规则
[root@localhost ~]# firewall-cmd --list-all-zones //显示所有区域及其规则
[root@localhost ~]# firewall-cmd --list-all //不指定区域时查看的是默认区域
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 //绑定的
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@localhost ~]# firewall-cmd --list-all --zone=work //查看work区域的规则
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
示例5:服务管理
显示、添加、删除指定区域的某个服务:
[root@localhost ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
[root@localhost ~]# firewall-cmd --zone=work --add-service=http
success
[root@localhost ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client http
[root@localhost ~]# firewall-cmd --zone=work --remove-service=http
success
[root@localhost~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
向默认区域中添加允许通过的服务:
[root@localhost ~]# firewall-cmd --add-service=http
success
[root@localhost ~]# firewall-cmd --list-services --zone=public
ssh dhcpv6-client http
一次性添加多个服务:
[root@localhost ~]# firewall-cmd --zone=work --add-service={http,https,ftp}
success
[root@localhost ~]# firewall-cmd --list-services --zone=work
ssh dhcpv6-client http https ftp
示例6:端口管理
添加、删除某个协议的端口。
[root@localhost ~]# firewall-cmd --zone=work --add-port=80/tcp
success
[root@localhost ~]# firewall-cmd --zone=work --list-ports
80/tcp
[root@localhost ~]# firewall-cmd --zone=work --list-all
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https ftp
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
添加连续的端口:
[root@localhost ~]# firewall-cmd --add-port=3000-5000/udp
success
[root@localhost ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens36
sources:
services: ssh dhcpv6-client http
ports: 3000-5000/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@localhost ~]# firewall-cmd --remove-port=3000-5000/udp
success
5.2 永久配置
永久配置不立即生效,需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失,永久存在。
示例:
1、–permanent 设置成永久生效,需要重启服务或重新加载 后才生效。
#同时添加 httpd、https 服务到默认区域,并设置成永久生效。
firewall-cmd --add-service={http,https} --permanent
firewall-cmd --reload
#添加使用 --permanent选项表示设置成永久生效,需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效;
2、把运行时配置转换成永久配置
firewall-cmd --runtime-to-permanent
#将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
示例1:直接进行永久配置
同时添加 httpd、https 服务到默认区域,并设置成永久生效。
[root@localhost ~]# firewall-cmd --add-service={http,https} --permanent
success
[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: ssh dhcpv6-client http https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
示例2:把运行时配置 转换成 永久配置
将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
[root@localhost ~]# firewall-cmd --runtime-to-permanent
success
6 设置SNAT规则和DNAT规则
设置SNAT策略:
[root@localhost ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 12.0.0.254
success
[root@localhost ~]# iptables -t nat -nL POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.100.0/24 0.0.0.0/0 to:12.0.0.254
设置DNAT策略:
[root@localhost ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.100.254
success
[root@localhost ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 12.0.0.254 tcp dpt:80 to:192.168.100.254
0.0.0/0 to:12.0.0.254
**设置DNAT策略:**
```shell
[root@localhost ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.100.254
success
[root@localhost ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 12.0.0.254 tcp dpt:80 to:192.168.100.254
扫一扫
609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
