Linux~防火墙管理之firewalld

最新推荐文章于 2025-05-12 00:32:41 发布
最新推荐文章于 2025-05-12 00:32:41 发布
阅读量505 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/WuXieDeXiaoGe/article/details/99779296
本文详细介绍RHEL7系统中firewalld防火墙管理工具的使用,包括动态更新技术、区域概念及其应用,以及firewalld与iptables的区别。文章涵盖firewalld的基本操作、区域配置、自定义服务创建及高级防火墙策略配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一:防火墙管理工具:

在RHEL 7系统中,firewalld防火墙取代了iptables防火墙。其实,iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。换句话说,当前在Linux系统中其实存在多个防火墙管理工具,旨在方便运维人员管理Linux系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的。只要在这多个防火墙管理工具中任选一款并将其学透,就足以满足日常的工作需求了。
在这里插入图片描述
RHEL 7系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。例如,我们有一台笔记本电脑,每天都要在办公室、咖啡厅和家里使用。按常理来讲,这三者的安全性按照由高到低的顺序来排列,应该是家庭、公司办公室、咖啡厅。当前,我们希望为这台笔记本电脑指定如下防火墙策略规则:在家中允许访问所有服务;在办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。在以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率。firewalld中常见的区域名称(默认为public)以及相应的策略规则图所示:
在这里插入图片描述

相关参数如下:
在这里插入图片描述

二:防火墙的管理:

1.图形管理防火墙界面 firewall-config
在这里插入图片描述
2.查看火墙的状态;查看火墙的默认区域;查看火墙的活跃区域(有网卡的区域活跃):
在这里插入图片描述
3.查看默认区域(public)的状态;查看work区域的火墙状态:
在这里插入图片描述
4.把firewalld服务中请求HTTP协议的流量设置为永久允许,并立即生效:
firewall-cmd --reload 刷新防火墙服务,让永久设置的立即生效
在这里插入图片描述
5.把firewalld服务中请求HTTP协议的流量设置为永久拒绝,并立即生效:

在这里插入图片描述

6.给trusted区域添加ip172.25.254.42,表明该IP访问本机时属于trusted:
在这里插入图片描述
7.将ip172.25.254.4从trusted区域中移除:

在这里插入图片描述
8.把firewalld服务中网卡默认区域public中移除:
在这里插入图片描述
9.firewalld服务中给trusted区域添加网卡,变成活跃区域:
在这里插入图片描述
10.把firewalld服务中eth0网卡的默认区域还原为public
在这里插入图片描述

11.firewalld默认配置文件有两个:/usr/lib/firewalld/ (系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)
在/usr/lib/firewalld/ 中,可以看到如图所示的各个服务配置文件,火墙之所以起作用,就是这些配置文件的功能
此处我们建立一个自己的xml结尾的配置文件,添加一个dns5353的服务:
在这里插入图片描述
拷贝dns.xml到dns5353.xml文件,编辑新的文件,把端口改一下成5353,重新启动防火墙服务,会看到我们添加的自定义服务:
在这里插入图片描述
在这里插入图片描述

12.高级火墙配置
firewalld中的富规则表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的

在这里插入图片描述

用高级火墙配置添加两个规则:
拒绝172.25.254.42访问本机22端口
允许172.25.254.42访问本机22端口

参数:
–direct 火墙高级规则
filter ##filter表
INPUT 1 #第一条链
–dport 22 ##端口号ssh
-s 后面跟指定ip
-j 后面跟要执行什么动作 ACCEPT允许 REJECT拒绝(回显)DROP拒绝(无回显)

在这里插入图片描述

查看高级火墙添加的所有规则
因为规则遵循顺序优先级,此处第一条和第二条规则矛盾,但是根据优先优先第一条有效:

在这里插入图片描述
在这里插入图片描述

规则的删除 --remove 移除规则:

在这里插入图片描述

13:火墙刷新:
这两条命令都是火墙刷新,即在添加新的火墙规则时,使其立即生效,二者的区别在于:

firewall-cmd --reload ##执行后已经执行的服务不会中断
firewall-cmd --complete-reload ##执行后已经执行的服务会立即中断

如:当有一个主机通过22端口ssh本机时,此时添加一条拒绝该连接本机ssh服务的规则时,
firewall-cmd --reload后不会立即断开连接,等下一次再连接时会拒绝
firewall-cmd --complete-reload立即拒绝
在这里插入图片描述

linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
Linux系统-centos防火墙firewalld详解
u013015301的博客
02-08 850
CentOS 7.6默认的防火墙管理工具是firewalld,它取代了之前的iptables防火墙firewalld属于典型的包过滤防火墙或称之为网络层防火墙,与iptables一样,都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。
防火墙Firewalld(iptables)
2201_75444658的博客
08-01 938
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Linux下配置防火墙规则---firewalld
m0_59081230的博客
02-05 3605
防火墙是用来允许或阻止流量访问的一种策略,是隔离本地网络与外部网络的中间防御系统。它允许用户通过定义 一组防火墙规则 来控制主机上的入站网络流量。这些规则用于对进入的流量进行排序,并可以 阻断或允许流量。防火墙需要第一时间接触流量,对其管理的规则主要有iptables和firewalldfirewalld 使用区(zone)和服务(service)的概念来简化流量管理。zones 是预定义的规则 集。网络接口和源可以分配给区。 。
【Linux】—管理、设置防火墙规则(firewalld详解)
热门推荐
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
04-18 1万+
【Linux】—管理、设置防火墙规则(firewalld详解)
linux的firewalld防火墙规则配置
u013930899的博客
08-15 8943
firewalld防火墙配置规则学习
linux防火墙 firewalld命令、防火墙区域、区域规则、服务管理firewalld端口、运行时、永久配置、禁止ping、查看网卡情况、协议、路由转发功能、将网卡添加到对应的某一区域。
jingyu飞鸟
06-10 7533
linux firewalld防火墙、概念、防火墙命令、防火墙区域、规则、服务管理、端口、运行时配置、永久配置、禁止ping、将网卡添加到某一区域、
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux防火墙管理firewalld
weixin_43407305的博客
12-20 916
防火墙管理工具 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙,虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流...
LINUX防火墙(原书第3版).pdf
09-22
Linux防火墙的配置和管理也有许多工具,如iptables命令行工具、图形界面工具如FirewallD和UFW等。这些工具可以帮助用户更简单、更直观地管理防火墙规则。 Linux防火墙是一种非常有效的网络安全工具,通过合理配置...
Linux中防火墙firewalld
weixin_47144155的博客
04-03 653
Linux中防火墙firewalld一.防火墙firewalld1.什么是防火墙2.Linux中的防火墙分类三级目录 一.防火墙firewalld 1.什么是防火墙 防火墙:防范一些网络攻击。有软件防火墙、硬件防火墙之分。防火墙选择让正常请求通过,从而保证网络安全性。 2.Linux中的防火墙分类 CentOS5、CentOS6 => 防火墙 => iptables防火墙 CentOS7 => 防火墙 => firewalld防火墙 注:firewalld = fire火 wa
linux firewall ip,linux防火墙firewall、iptable查看状态、配置规则-centos7
weixin_36165751的博客
05-10 999
一、iptables防火墙1、基本操作# 查看防火墙状态service iptables status# 停止防火墙service iptables stop# 启动防火墙service iptables start# 重启防火墙service iptables restart# 永久关闭防火墙chkconfig iptables off# 永久关闭后重启chkconfig iptables on...
Linux 防火墙Firewalld
shyuu的博客
09-14 2475
firewalld是 CentOS 7 系统中默认的防火墙管理工具,取代了之前的iptables,也工作在网络层,属于包过滤防火墙firewalld和iptables都是用户态的防火墙管理工具,内部结构都指向内核态的netfilter网络过滤子系统,用来实现包过滤防火墙的功能。firewalld提供了一种动态防火墙管理工具,支持网络区域的定义、网络连接的安全等级管理。它支持 IPv4、IPv6 防火墙设置以及以太网桥(一些高级服务会用到,比如云计算)。它拥有两种配置模式:运行时配置和永久配置。
Linux运维--Firewall防火墙命令以及规则等详解(全)
lza20001103的博客
09-02 6407
Linux运维--Firewall防火墙命令以及规则等详解(全)
Iptables & firewalld
最新发布
qq_61614649的博客
05-12 645
iptables 和 Firewalld 是 Linux 系统中两种常见的防火墙管理工具。它们用于配置和管理网络流量规则,以确保系统的安全性。iptables 是一个基于内核的防火墙工具,直接操作网络包过滤规则,而 Firewalld 则是一个更高级的动态管理工具,提供了更灵活的配置方式。
linux防火墙查看状态firewall
qq_44534541的博客
05-10 4396
我经常会遇到本地浏览器访问Linux虚拟机中搭建的环境,访问失败。原因很简单,一台新的虚拟机,很多窗口是没有打开的。我们需要在防火墙中打开对应的端口。比如MySQL的端口3306,本地Navicat 连接对应数据库是时,首先应该检查Linux防火墙是否打开了。 比如mysql连接失败: # 1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 # 2、查看firewall的状态
iptables&firewalld防火墙
python_bobo的博客
08-19 1649
防火墙的三张表五条链 三张表: fileter ##不经过内核的链组成 nat ##经过内核的链组成 mangle ##附加表 五条链: INPUT ##输入 OUTPUT ##输出 FORWARD ##通过 PREROUTING ##目的地地址伪装 POSTROUTING ##源地址伪装首先介绍iptables 开始前需要下载并打开iptables,
Iptables与Firewalld防火墙
Howie66的博客
02-23 989
8.1 防火墙管理工具众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可...
iptables与firewalld防火墙
qq_45870087的博客
01-17 2783
iptables 在早期的Linux系统中默认使用的是iptables防火墙管理服务来配置防火墙,虽然新型的firewalld防火墙管理服务已经被投入使用多年,但iptables仍有企业在使用,而且各个防火墙管理工具的配置思路是一致的,所以我们了解一下iptables也有一定的意义。 1、策略与规则链 防火墙会按从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。 ...
linux防火墙放行端口 FirewallD is not running
05-24
如果你想在Linux上放行某个端口,可以使用FirewallD管理防火墙规则。如果你发现FirewallD没有运行,你可以按照以下步骤启动它: 1. 检查FirewallD是否已经安装,如果没有安装,你需要先安装它。 2. 启动FirewallD服务:`sudo systemctl start firewalld` 3. 确认FirewallD已经启动:`sudo systemctl status firewalld` 4. 如果FirewallD已经启动,你可以放行某个端口,例如放行80端口:`sudo firewall-cmd --add-port=80/tcp --permanent` 5. 重新加载防火墙规则:`sudo firewall-cmd --reload` 现在,端口80已经被放行了,并且将在重启后保持。如果你想放行其他端口,请使用相应的端口号来替换80。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值