溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
1.Fiewalld概述
2.Fiewalld和iptables的關系
3.Fiewalld網絡區域
4.Fiewalld防火墻的配置方法
5.Fiewalld-config圖形工具
6.Fiewalld防火墻案例
1.支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火墻管理工具
2.支持IPv4、IPv6防火墻設置以及以太網橋
3.支持服務或應用程序直接添加防火墻規則接口
4.擁有兩種配置模式:運行時配置、永久配置
基于端口、協議、
1.位于Linux內核中的包過濾功能體系
2.稱為Linux防火墻的“內核態”
1.CentOS7默認管理防火墻規則的工具(Fiewalld)
2.稱為Linux防火墻的“用戶態”
| Fiewalld | iptables | |
|---|---|---|
| 配置文件 | /usr/lib/firewalld/或/etc/firewalld/ | /etc/sysconfig/iptables |
| 對規則的修改 | 不需要全部刷新策略,不丟失現行連接 | 需要全部刷新策略,丟失連接 |
| 防火墻類型 | 動態防火墻(靈活) | 靜態防火墻 |
| 區域 | 描述 |
|---|---|
| drop(丟棄) | 任何接收的網絡數據包都被丟棄,沒有任何回復。僅能有發送出去的網絡連接 |
| block(限制) | 任何接收的網絡連接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕 |
| public(公共) | 在公共區域內使用,不能相信網絡內的其他計算機不會對您的計算機造成危害,只能接收經過選取的連接 |
| external(外部) | 特別是為路由器啟用了偽裝功能的外部網。您不能信任來自網絡的其他計算,不能相信他們不會對您的計算機造成危害,只能接收經過選擇的連接 |
| dmz(非軍事區) | 用于您的非軍事區內的電腦,此區域內可公開訪問,可以有限的進入您的內部網絡,僅僅接收經過選擇的連接 |
| work(工作) | 用于工作區域。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接 |
| home(家庭) | 用于家庭網絡。您可以基本相信網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接 |
| internal(內部) | 用于內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接 |
| trusted(信任) | 可接受所有的網絡連接 |
PAT優點:安全、節約了IP地址的資源
1.SNAT(原地址轉換)
2.DNAT(目標地址轉換)
1.區域如同進入主機的安全門,每個區域都具有不同限制程度的規則
2.可以使用一個或多個區域,但是任何一個活躍區域至少需要關聯原地址或接口
3.默認情況下,public區域是默認區域,包含所有接口(網卡)
檢查數據來源地址:
1.若源地址關聯到特定的區域,則執行該區域所制定的規則
2.若源地址未關聯到特定區域,則使用傳入網絡接口的區域并執行該區域所制定的規則
3.若網絡接口未關聯到特定的區域,則使用默認區域所指定的規則
1.實時生效,并持續至Firewalld重新啟動或重新加載配置
2.不中斷現有鏈接
3.不能修改服務配置
1.不立即生效,除非Firewalld重新啟動或重新加載配置
2.終端現有連接
3.可以修改服務配置
1.Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件時可通過從/usr/lib/firewalld/中拷貝
2./usrlib/firwalld/:默認配置文件,不建議修改,若恢復至默認配置,可直接刪除/etc/firewalld/中的配置
服務、端口、協議、源端口、偽裝、端口轉發、ICMO過濾器
模塊、目標地址
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
