Linux Firewalld防火墙-优快云博客

防火墙（FireWall ) :隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中

二、防火墙

Netfilter

Linux 防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在Linux内核中

防火墙的分类

按保护范围划分

主机防火墙：服务范围为当前一台主机

网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现

软件防火墙：运行于通用硬件平台之上的防火墙的应用软件

按网络协议划分

网络层防火墙：OSI模式下四层，又称为包过滤防火墙

应用层防火墙 / 代理服务器：proxy 代理网关，OSI模型七层

防火墙工具

iptables

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包

firewallld

centos7中默认打开

nftables

适用于centos8

firewalld 和 iptables 的区别

                               Firewalld iptables
配置文件               /usr/lib/firewalld/
                              /etc/firewalld/ /etc/sysconfig/iptables
对规则的修改        不需要全部刷新策略，不丢失
                              现行连接需要全部刷新策略，丢失连接
防火墙类型            动态防火墙静态防火墙

三、Firewalld

Firewalld zone 分类

zone名称 默认配置

trusted 允许所有流量

home 拒绝除和传出流量相关的，以及ssh,mdsn,ipp-client,samba- client,dhcpv6-client预定义服务之外其它所有传入流量

internal 和home相同

work 拒绝除和传出流量相关的，以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量

public 拒绝除和传出流量相关的，以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量，新加的网卡默认属于public zone

external 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量，属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。

dmz 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量

block 拒绝除和传出流量相关的所有传入流量

drop 拒绝除和传出流量相关的所有传入流量（甚至不以ICMP错误进行回应)

预定义服务

服务名称 配置
ssh Local sSH server.Traffic to 22/tcp
ipp-client Local lPP printing.Traffic to 631/udp.
dhcpv6-client Local DHCPv6 client.Traffic to 546/udp on the fe80::/64 IPv6 network
samba-client Local Windows file and print sharing client.Traffic to 137/udp and 138/udp.
mdns Multicast DNS (mDNS) local-link name resolution.Traffic to 5353/udp to the

224.0.0.251(IPv4) or ff02:fb (IPv6) multicast addresses