溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要為大家分析了如何進行FirewallD 防火墻的使用的相關知識點,內容詳細易懂,操作細節合理,具有一定參考價值。如果感興趣的話,不妨跟著跟隨小編一起來看看,下面跟著小編一起深入學習“如何進行FirewallD 防火墻的使用”的知識吧。
在RHEL7中FirewallD取代了原有的ptables防火墻,較于iptables防火墻而言用戶可以根據生產場景的不同而選擇合適的策略集合,從而實現防火墻策略之間的快速切換。
在 Debian Linux 10 社區版中使用如下命令:
apt-get install firewall-applet firewall-config firewalld
就可以直接進行 FirewallD 防火墻軟件組件包的安裝,其中:
firewall-applet 為 FirewallD 托盤小程序,
firewall-config 為 FirewallD 圖形化系統配置管理工具
firewalld 為 FirewallD 防火墻軟件組件的主組件包,其中包含 firewall-cmd、firewall-offline-cmd 等命令行系統配置管理工具。
在 RedHat 8 下該防火墻組件默認已經進行了安裝,如果用戶進行特殊定制安裝之后需要單獨安裝該軟件組件可以使用命令
yum install firewall-config
直接進行安裝即可。
筆者在兩個系統裝進行過安裝對比,發現該軟件組件包在兩個系統上除了安裝命令稍有差異外,其它從配置文件到 systemd 服務配置并沒有任何區別。隨后的內容將不再強調操作系統。
Block(阻塞)
任何對該區域的連接請求都會被以 IPv4 的 icmp-host-prohibited 信息或 IPv6 的 icmp6-adm-prohibited 信息所拒絕。只能從系統內部啟動網絡連接。
Dmz(隔離)
用于你的隔離區內的電腦,此區域內可公開訪問,可以有限地進入你的內部網絡,僅僅接收經過選擇的連接。
Drop(丟棄)
對進入該區域的所有數據包丟棄,并且不進行任何回包,區域內主動發起連接的流入回程數據包允許通過,允許進行出方向的網絡連接。
External(外部)
用于在啟用偽裝的外部網絡上使用,尤其路由器、防火墻認為在這個網絡上的其它主機不可信。僅僅接收經過選擇的連接。
Home(家庭)
默認其他同區域內主機可信,僅僅接收經過選擇的連接。同時默認放行 ssh、mdns、ipp-client、amba-client 與 dhcpv6-client 服務產生的連接。
Internal(內部)
從描述中可以等同于家庭區域。
Public(公開)
公共區域,也是防火墻配置的默認區域,防火墻認為該區域主機不可信。僅僅接收經過選擇的連接。同時默認放行 ssh 與 dhcpv6-client 服務產生的連接。
Trusted(可信)
可信區域,防火墻放行一切流量。等同于關閉防火墻功能。
Work(工作)
工作區域,防火墻認為在這個網絡上的其它主機不可信。僅僅接收經過選擇的連接。同時默認放行 ssh、ipp-client 與 dhcpv6-client 服務產生的連接。
這些區域的命名不言自明,用戶可以很快選擇一個合適的安全區域,從而簡化和避開很多安全問題。當然用戶也可以根據自己的需要或者安全評估來根據自己的實際需求對相應安全域進行更個性化的配置,以適應自己的安全管理規范。盡管有些安全域的安全規則是相同的,但之所以還要在名字上有所區別,主要是為了從習慣上讓用戶更好區分不同域的獨特使用場景,對用戶來說更好理解和便于區分。
查詢狀態:
firewall-cmd --state
更多的防火墻系統服務狀態信息可以使用
systemctl status firewalld
在你配置新的防火墻規則之前,你需要了解如何通過命令查看當前防火墻配置。查看防火墻當前配置可以通過圖形界面或者在終端模式下使用命令進行。
在圖形界面下可以直接通過點擊應用程序“firewall-config”圖標或者在終端窗口中輸入 firewall-config 命令進行防火墻配置。如果當前用戶為非 root 用戶,系統將彈出管理員認證窗口,用戶正確輸入管理員密碼后,防火墻配置窗口就會打開,用戶即可以按照窗口界面提供的功能進行操作。
用戶也可以在命令行下使用 firewall-cmd工具進行防火墻配置。命令行工具雖然學習起來需要一定的時間,不過該工具可以完全在系統處于終端模式下進行各種復雜的防火墻全功能配置,用戶有必要進行認真的學習和掌握。
FirewallD 使用了區域進行數據流的管理,當用戶使用 firewall-cmd --list-all 命令時,如果沒有使用 --zone 指定區域,那么系統將返回默認區域的當前配置狀態。
默認區域由配置文件 /etc/firewalld/firewalld.conf 中的字段 DefaultZone 定義,初始狀態下,默認區域被定義為 public(公共區域)。
用戶可以使用命令:
firewall-cmd --get-zones
查看當前系統防火墻設置的的區域名列表,也可以使用命令:
firewall-cmd --get-default-zone
查看防火墻當前的默認區域;同時,可使用命令:
firewall-cmd --set-default-zone=[zonename]
或者通過直接編輯配置文件中 DefaultZone 字段的值進行默認區域的修改。
啟動防火墻:
systemctl unmask firewalld
systemctl start firewalld
讓防火墻隨系統啟動一起啟動:
systemctl enable firewalld
停止防火墻:
systemctl stop firewalld
停止隨系統啟動:
systemctl disable firewalld
停止通過訪問 firewalld D-Bus 接口和其他服務需要 firewalld 依賴導致的 firewalld 自動啟動,更加干凈的關閉 firewalld 服務:
systemctl mask firewalld
按照 RedHat 的官方文檔定義,防火墻運行之后被稱為運行時狀態,保存了啟動默認參數之后的配置被稱為永久狀態。在當前運行狀態對防火墻進行的所有配置修改,系統即時生效,但重啟后防火墻會恢復到它之前的永久狀態,其實這一過程就是從保存之后的配置文件中加載相應配置參數的過程。
用戶可以使用命令:
fiewall-cmd --runtime-to-permanent
對當前修改過的規則即時保存為永久配置,也可以使用命令 firewall-cmd --permanent 并在其后添加其它參數永久進行修改。
重新啟動 firewalld 將關閉所有打開的端口并停止網絡通信,需要使用命令:
firewall-cmd --reload
重新加載永久配置使之生效。
FirewallD 提供了一種系統受到攻擊的緊急操作功能。假設攻擊者對系統進行攻擊,用戶可以直接使用命令:
firewall-cmd --panic-on
關閉網絡通信并且切斷攻擊者,而不用像之前那樣通過物理拔除網線來進行斷網操作,防止了系統在多網口環境中一次性插拔所有網線可能帶來的混亂以及由此引發的系統恢復后延續問題。
需要恢復網絡通信時用戶只要使用命令:
firewall-cmd --panic-off
關閉恐慌模式即可,用戶也可以使用命令:
firewall-cmd --query-panic
查詢防火墻當前恐慌模式的狀態。
用戶可以通過命令行工具添加預定義的服務類型,防火墻會自動根據所需的端口并將其他設置修改為服務定義文件。
使用命令:
firewall-cmd --list-services
可以查看當前區域內被允許的服務。使用命令:
firewall-cmd --get-services
可以列出所有防火墻已經給定的預定義服務名稱。使用命令:
firewall-cmd --add-service=service-name>
可以添加具體服務,服務名稱用戶可以根據自己的實際需求從預定義服務名稱中選取合適的服務名進行添加。完成之后用戶可以使用命令:
firewall-cmd --runtime-to-permanent
將對運行時的修改保存為永久。用戶可以通過命令 firewall-config、firewall-cmd 和 firewall-offline-cmd,或者通過直接將 /usr/lib/firewalld/services 目錄的默認模板 XML 文件復制到 /etc/firewalld/services 目錄中進行編輯來添加一個自定義服務類型。具體過程如下:
方法一:執行 firewall-cmd –new-service=service-name,系統將直接在 /etc/firewalld/services 目錄下創建一個以 .xml 結尾的同名文件,自定義服務類型添加完成。
方法二:在相應目錄使用編輯軟件直接編輯好 XML 文件并執行 firewall-cmd --new-service-from-file=service-name.xml,系統將自動完成同名自定服務類型的添加。
端口作為特定系統服務的接收和區分網絡流量并將其轉發到系統服務的邏輯設備,系統守護進程通常偵聽特定的服務端口。防火墻在默認的服務類型配置中已經定義了相應服務需要放行的對應的端口。當用戶還需要在某個服務中放行特定的自定義端口或者端口段的時候可以通過 firewall-cmd 完成,格式如下:
firewall-cmd [--zone=zone_name] [--service=service_name] --add-port=port-number/port-type
這里需要說明的是 --zone、--service 為可選參數,如果用戶不添加這兩個參數執行命令時相當與在默認區域中直接添加了端口,當只選取了 --zone 參數時,命令執行的結果是在指定區域直接添加端口,此時與服務狀態無關。只有在使用 --service 參數時才是在相應的服務中添加端口。
當用戶需要刪除一個端口時可以使用如下命令:
# firewall-cmd [--zone=zone_name] [--service=service_name] --remove-port=port-number/port-type
當用戶需要向不同區域添加服務時,用戶可以通過如下步逐進行:
# firewall-cmd --add-service=ssh --zone=drop
該命令將向區域 drop 中添加 ssh 服務,其實質就是放行 ssh 服務定義中的默認 22 端口入站方向的流量及連接。
在多網絡接口主機中,可以使用如下方法將指定的網絡接口添加到需要的區域中,從而實現每個接口的安全連接區域要求,實現真正的區域化網絡安全管理。
使用命令:
firewall-cmd --get-active-zones
查看當前激活的安全區域和相應的網絡接口配置。使用命令
firewall-cmd --zone=work --change-interface=ens3p0
則將網卡 ens3p0 加入到了 work 區域,之后所有通過該網卡的流量將受到區域安全規則的約束和限制,該配置是即時生效的并且會自動保存為永久配置。
用戶需要將某個網卡加入到特定安全區域也可以直接使用:
vi /etc/sysconfig/network-scripts/ifcfg-connection-name
并在該文件下加入 ZONE=zone-name 行,該網卡即屬于特定的安全區域。
用戶可以對安全區域進行默認規則設置,默熱規則包括三個選項 ACCEPT、REJECT、DROP,其中 ACCEPT 選項將放行所有流量,REJECT、DROP 選項將阻止所有進入該安全區域的流量,與 REJECT 不同的是 DROP 選項直接丟棄進入安全區域的數據包,并不會向該數據包的發起者回復任何信息。用戶可以使用命令:
firewall-cmd --zone=zone-name --set-target=default|ACCEPT|REJECT|DROP>
進行相應安全區域的默認規則設置。
你可以使用區域根據來源管理流入流量,這使你可以對傳入流量進行排序,并將其路由到不同區域,以允許或禁止該流量可以到達的服務。
如果將源添加到區域,則該區域將變為活動狀態,并且來自該源的任何傳入流量將通過它。你可以為每個區域指定不同的設置,該設置將應用于來自給定來源的流量。即使你只有一個網絡接口,也可以使用更多區域。
通過以下實例,我們可以將特定網段對 HTTP 的請求流量進行更細致的管理,使用命令:
firewall-cmd --zone=trusted --add-source=192.168.1.0/24
將該網段作為資源加入到 trusted 區中,通過命令:
firewall-cmd --zone=trusted --add-service=http
將 Web 服務添加到相同區域中,隨后該目標地址產生的訪問 Web 服務流量將可以順利通過。
為了防止本地程序比如 KVM 虛擬機組件對防火墻的修改,FirewallD 還提供了一種鎖閉機制來防止本地程序或者服務組件對防火墻配置的修改,并且該命令只有 root 用戶本身才可以執行。
用戶可以使用命令:
firewall-cmd --query-lockdown
查詢防火墻鎖閉狀態,當需要鎖閉時可以直接執行命令:
firewall-cmd --lockdown-on
恢復到非鎖閉狀態時可以執行命令:
firewall-cmd --lockdown-off
關于“如何進行FirewallD 防火墻的使用”就介紹到這了,更多相關內容可以搜索億速云以前的文章,希望能夠幫助大家答疑解惑,請多多支持億速云網站!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
