溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火墻管理工具,支持IPv4、IPv6防火 墻設置以及以太網橋,支持服務或應用程序直接添加防火墻規則接口。
1.運行時配置
2.永久配置
位于Linux內核中的包過濾功能體系稱為Linux防火墻的“內核態”
CentOS7默認的管理防火墻規則的工具(Firewalld)稱為Linux防火墻的“用戶態”
| Firewalld | iptables | |
|---|---|---|
| 配置文件 | /us/ib/firewalld/、 /etc/sysconfig/iptables | /etc/firewalld/ |
| 對規則的修改 | 不需要全部刷新策略,不丟失現行連接 | 需要全部刷新策略,丟失連接 |
| 防火墻類型 | 動態防火墻 | 靜態防火墻 |
| 區域 | 描述 |
|---|---|
| drop (丟棄) | 任何接收的網絡數據包都被丟棄,沒有任何回復。僅能有發送出去的網絡連接 |
| block (限制) | 任何接收的網絡連接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕 |
| public (公共) | 在公共區域內使用,不能相信網絡內的其他計算機不會對您的計算機造成危害,只能接收經過選取的連接 |
| external (外部) | 特別是為路由器啟用了偽裝功能的外部網。您不能信任來自網絡的其他計算,不能相信它們不會對您的計算機造成危害,只能接收經過選擇的連接 |
| dmz (非軍事區) | 用于您的非軍事區內的電腦,此區域內可公開訪問,可以有限地進入您的內部網絡,僅僅接收經過選擇的連接 |
| work (工作) | 用于工作區。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接 |
| home (家庭) | 用于家庭網絡。您可以基本信任網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接 |
| internal (內部) | 用于內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接 |
| trusted (信任) | 可接受所有的網絡連接 |
檢查數據來源的源地址
Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件,則使用/usr/lib/firewalld/中的配置
輸入"firewall-config"命令,進入圖形工具。
當我們配置完畢后,需要重載防火墻才能才能生效,在重載防火墻前一定要將Runtime設定為永久配置,不然之前配置的運行時配置會直接刪除,如果你配的就是永久,直接重載即可。
我們可以選擇配置防火墻規則的網卡、接口等,同時也能根據服務、端口、協議等進行訪問限制。圖形工具簡潔方便,就不多做介紹了。
(1)啟動、停止、查看 firewalld 服務
在安裝 CentOS7 系統時,會自動安裝 firewalld 和圖形化工具 firewall-config。執行 以下命令可以啟動 firewalld 并設置為開機自啟動狀態。
[root@localhost ~]# systemctl start firewalld //啟動 firewalld
[root@localhost ~]# systemctl enable firewalld //設置 firewalld 為開機自啟動 如果 firewalld 正在運行,通過 systemctl status firewalld 或 firewall-cmd 命令可以查看其運行狀態。
[root@localhost ~]# systemctl status firewalld //查看狀態
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since 一 2019-10-14 10:04:49 CST; 5h 59min ago
Docs: man:firewalld(1)
Main PID: 633 (firewalld)
CGroup: /system.slice/firewalld.service
└─633 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
10月 14 10:04:45 localhost.localdomain systemd[1]: Starting firewalld - dynamic fi....
10月 14 10:04:49 localhost.localdomain systemd[1]: Started firewalld - dynamic fir....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'beyond-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: beyond-scope: INVA....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'failed-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: failed-policy: INV....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'reject-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: reject-route: INVA....
Hint: Some lines were ellipsized, use -l to show in full.
[root@localhost ~]# firewall-cmd --state //查看狀態
running
[root@localhost ~]# 如果想要禁用 firewalld,執行以下命令即可實現。
[root@localhost ~]# systemctl stop firewalld //停止 firewalld
[root@localhost ~]#systemctl disable firewalld //設置 firewalld 開機不自啟動(2)獲取預定義信息
firewall-cmd 預定義信息主要包括三種:可用的區域、可用的服務以及可用的 ICMP 阻塞類型,具體的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //顯示預定義的區域
block dmz drop external home internal public trusted work
[root@localhost ~]# firewall-cmd --get-services //顯示預定義的服務
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp open*** ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[root@localhost ~]# firewall-cmd --get-icmptypes //顯示預定義的 ICMP 類型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@localhost ~]# firewall-cmd --get-icmptypes 命令的執行結果中各種阻塞類型的含義分別如下所示:
destination-unreachable:目的地址不可達
echo-reply:應答回應(pong)
parameter-problem:參數問題
redirect:重新定向
router-advertisement:路由器通告
router-solicitation:路由器征尋
source-quench:源端抑制
time-exceeded:超時
timestamp-reply:時間戳應答回應
timestamp-request:時間戳請求(3)區域管理
使用 firewall-cmd 命令可以實現獲取和管理區域,為指定區域綁定網絡接口等功能。
選項說明:
--get-default-zone 顯示網絡連接或接口的默認區域
--set-default-zone=<zone> 設置網絡連接或接口的默認區域
--get-active-zones 顯示已激活的所有區域
--get-zone-of-interface=<interface> 顯示指定接口綁定的區域
--zone=<zone> --add-interface=<interface> 為指定接口綁定區域
--zone=<zone> --change-interface=<interface> 為指定的區域更改綁定的網絡接口
--zone=<zone> --remove-interface=<interface> 為指定的區域刪除綁定的網絡接口
--list-all-zones 顯示所有區域及其規則
[--zone=<zone>] --list-all 顯示所有指定區域的所有規則,省略--zone=<zone>時表示僅對默認區域操作具體操作如下所示:
[root@localhost ~]# firewall-cmd --get-default-zone
public
[root@localhost ~]# [root@localhost ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@localhost ~]#[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
[root@localhost ~]#[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces
ens33
[root@localhost ~]# [root@localhost ~]# firewall-cmd --get-active-zones
internal
interfaces: ens33
[root@localhost ~]# (4)服務管理
為 了 方 便 管 理 , firewalld 預 先 定 義 了 很 多 服 務 , 存 放 在 /usr/lib/firewalld/services/ 目錄中,服務通過單個的 XML 配置文件來指定。這些配置文件則按以下格式命名:service-name.xml,每個文件對應一項具體的網絡服務,如 ssh 服 務等。
選項說明:
[--zone=<zone>] --list-services 顯示指定區域內允許訪問的所有服務
[--zone=<zone>] --add-service=<service> 為指定區域設置允許訪問的某項服務
[--zone=<zone>] --remove-service=<service> 刪除指定區域已設置的允許訪問的某項服務
[--zone=<zone>] --list-ports 顯示指定區域內允許訪問的所有端口號
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> 為指定區域設置允許訪問的某個/某段端口號 (包括協議名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> 刪除指定區域已設置的允許訪問的端口號(包括協議名)
[--zone=<zone>] --list-icmp-blocks 顯示指定區域內拒絕訪問的所有 ICMP 類型
[--zone=<zone>] --add-icmp-block=<icmptype> 為指定區域設置拒絕訪問的某項 ICMP 類型
[--zone=<zone>] --remove-icmp-block=<icmptype> 刪除指定區域已設置的拒絕訪問的某項 ICMP 類型,省略--zone=<zone>時表示對默認區域操作 具體操作如下所示:
[root@localhost ~]# firewall-cmd --list-services //顯示默認區域內允許訪問的所有服務
ssh dhcpv6-client
[root@localhost ~]# firewall-cmd --add-service=http //設置默認區域允許訪問 http 服務
success
[root@localhost ~]# firewall-cmd --add-service=https //設置默認區域允許訪問 https 服務
success
[root@localhost ~]# firewall-cmd --list-services //顯示默認區域內允許訪問的所有服務
ssh dhcpv6-client http https
[root@localhost ~]#[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql //設置 internal 區域允許訪問 mysql 服務
success
[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client //設置 internal 區域不允許訪問 samba-client 服務
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services //顯示 internal 區域內允許訪問的所有服務
ssh mdns dhcpv6-client mysql
[root@localhost ~]# (5)端口管理
在進行服務配置時,預定義的網絡服務可以使用服務名配置,服務所涉及的端口就會自 動打開。但是,對于非預定義的服務只能手動為指定的區域添加端口。例如,執行以下操作 即可實現在 internal 區域打開 443/TCP 端口。
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
[root@localhost ~]# 若想實現在 internal 區域禁止 443/TCP 端口訪問,可執行以下命令。
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success
[root@localhost ~]#(6)兩種配置模式
前面提到 firewall-cmd 命令工具有兩種配置模式:運行時模式(Runtime mode)表示 當前內存中運行的防火墻配置,在系統或 firewalld 服務重啟、停止時配置將失效;永久模 式(Permanent mode)表示重啟防火墻或重新加載防火墻時的規則配置,是永久存儲在配置 文件中的。
firewall-cmd 命令工具與配置模式相關的選項有三個:
--reload:重新加載防火墻規則并保持狀態信息,即將永久配置應用為運行時配置
--permanent:帶有此選項的命令用于設置永久性規則,這些規則只有在重新啟動firewalld 或重新加載防火墻規則時才會生效;若不帶有此選項,表示用于設置運行時 規則。
--runtime-to-permanent:將當前的運行時配置寫入規則配置文件中,使之成為永久性 | 選項 | 說明 |
|---|---|
| --get-default-zone | 顯示網絡連接或接口的默認區域 |
| --set-default-zone= <zone> | 設置網絡連接或接口的默認區域 |
| --get-active -zones | 顯示已激活的所有區域 |
| --get-zone-of-interface= <interface> | 顯示指定接口綁定的區域 |
| --zone= <zone> --add-interface= <interface> | 為指定接口綁定區域 |
| --zone= <zone> --change-interface= <interface> | 為指定的區域更改綁定的網絡接口 |
| --zone= <zone> --remove-interface= <interface> | 為指定的區域刪除綁定的網絡接口 |
| --query-interface= <interface> | 查詢區域中是否包含某接口 |
| --list-all-zones | 顯示所有區域及其規則 |
| [--zone= <zone>] --list-all | 顯示所有指定區域的所有規則 |
| [--zone= <zone>] --list-services | 顯示指定區域內允許訪問的所有服務 |
| [--zone= <zone>] --add-service= <service> | 為指定區域設置允許訪問的某項服務 |
| [--zone= <zone>] --remove-service= <service> | 刪除指定區域已設置的允許訪問的某項服務 |
| [--zone= <zone>] --query-service= <service> | 查詢指定區域中是否啟用了某項服務 |
| [--zone= <zone>] --list-ports | 顯示指定區域內允許訪問的所有端口號 |
| [--zone= <zone>] --add-port= <port>[-<port> ]/ <protocol> [--timeout= <seconds>] | 啟用區域端口和協議組合,可選配置超時時間 |
| [--zone= <zone>] --remove-port= <port>[-<port>]/<protocol> | 禁用區域端口和協議組合 |
| [--zone= <zone>] --query-port=<port>[-<port> ]/<protocol> | 查詢區域中是否啟用了端口和協議組合 |
| [--zone= <zone>] --list-icmp-blocks | 顯示指定區域內阻塞的所有ICMP類型 |
| [--zone= <zone>] --add-icmp-block= <icmptype> | 為指定區域設置阻塞的某項ICMP類型 |
| [--zone= <zone>] --remove-icmp-block= <icmptype> | 刪除指定區域已阻塞的某項ICMP類型 |
| [--zone= <zone>] --query-icmp-block= <icmptype> | 查詢指定區域的ICMP阻塞功能 |
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
