discuz可以做门户网站么,宜昌做网站哪家最便宜,ui界面设计报告,中高端网站建设公司Firewalld 防火墙基础 一、Firewalld概述firewalld 简介firewalld 和 iptables 的关系firewalld 与 iptables service 的区别 二、Firewalld 网络区域区域介绍Firewalld数据处理流程 三、Firewalld 防火墙的配置方法firewall-config 图形工具“区域”选项卡“服务”选项卡改变防… Firewalld 防火墙基础 一、Firewalld概述firewalld 简介firewalld 和 iptables 的关系firewalld 与 iptables service 的区别 二、Firewalld 网络区域区域介绍Firewalld数据处理流程 三、Firewalld 防火墙的配置方法firewall-config 图形工具“区域”选项卡“服务”选项卡改变防火墙设置修改默认分区 firewall-cmd 命令1. firewalld 服务管理 2. 获取预定义信息3. 区域管理4. 服务管理5. 端口管理6. 两种配置模式 一、Firewalld概述
firewalld 简介
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式 运行时配置永久配置
firewalld 和 iptables 的关系
netfilter 位于Linux内核中的包过滤功能体系称为Linux防火墙的 “内核态” firewalld/iptables CentOS7默认的管理防火墙规则的工具Firewalld 称为Linux防火墙的 “用户态” 他们的作用都是用于维护规则而真正使用规则干活的是内核的 netfilter
firewalld 与 iptables service 的区别
Firewalldiptables配置文件/usr/lib/firewalld/ /etc/firewalld//etc/sysconfig/iptables对规则的修改不需要全部刷新策略不丢失现行链接需要全部刷新策略丢失链接防火墙类型动态防火墙静态防火墙
二、Firewalld 网络区域
区域介绍
区域如同进入主机的安全门每个区域都具有不同限制程度的规则可以使用一个或多个区域但是任何一个活跃区域至少需要关联源地址或接口默认情况下public区域是默认区域包含所有接口网卡
firewalld 的预定义区域说明 区域说明trusted信任区域可接收所有的网络连接public公共区域除非与传出流量相关或与 ssh 或 dhcpv6-client 预定义服务匹配否则拒绝流量传入在公共区域内不能相信网络内的其他计算机不会对计算机造成危害只能接收经过选择的连接。并且该区域是新添加网络接口的默认区域work工作区域除非与传出流量相关或与 ssh、ipp-client、dhcpv6-client 预定义服务匹配否则拒绝流量传入用于工作区。相信网络内的其他计算机不会危害计算机仅接收经过选 择的连接home家庭区域除非与传出流量相关或与 ssh、ipp-client、mdns、samba-client、dhcpv6-client 预定义服务匹配否则拒绝流量传入用于家庭网络。信任网络内的其他计算机不会危害计算机仅接收经过选择的连接internal内部区域除非与传出流量相关或与 ssh、ipp-client、mdns、samba-client、dhcpv6-client 预定义服务匹配否则拒绝流量传入用于内部网络。信任网络内的其他计算机不会危害计算机仅接收经过选择的连接external外部区域除非与传出流量相关或与ssh 预定义服务匹配否则拒绝流量传入。通过此区域转发的IPv4 传出流量将进行地址伪装可用于为路由器启用了伪装功能的外部网络dmz隔离区域也称为非军事区域除非与传出的流量相关或与ssh 预定义服务匹配否则拒绝流量传入block限制区域除非与传出流量相关否则拒绝所有传入流量drop丢弃区域除非与传出流量相关否则丢弃所有传入流量并且不产生包含 ICMPInternet Control Message Protocol互联网控制报文协议的错误响应
Firewalld数据处理流程
检查数据来源的源地址 若源地址关联到特定的区域则执行该区域所制定的规则。若源地址未关联到特定的区域则使用传入网络接口的区域并执行该区域所制定的规则。若网络接口未关联到特定的区域则使用默认区域并执行该区域所制定的规则。
三、Firewalld 防火墙的配置方法
在 CentOS7 系统中可以使用三种方式配置 firewalld 防火墙 firewall-config 图形工具。firewall-cmd 命令行工具。/etc/firewalld/中的配置文件。 通常情况下不建议直接编辑配置文件
firewall-config 图形工具
在终端中输入 firewall-config 命令 firewall-config 工作界面主要分为三个部分上面是主菜单中间是配置选项下面是区域、服务、IPsets、ICMP 类型、直接配置、锁定白名单设置选项卡。其中ICMP 类型、直接配置和锁定白名单选项卡只在从“查看”下拉菜单中选择之后才能看见。最底部是状态栏从左到右显示了四个信息依次是连接状态、默认区域、锁定状态、应急模式。
firewall-config 主菜单包括四个菜单项文件、选项、查看、帮助。其中“选项”菜单是最重要的主要包括以下几个选项。
重新加载防火墙重新加载防火墙规则当前的永久配置将变成新的运行时配置。 例如所有的当前运行的配置规则如果没有在永久配置中操作系统重新加载后就会丢失。更改连接区域更改网络连接的所属区域和接口。改变默认区域更改网络连接的默认区域。应急模式表示丢弃所有的数据包。锁定可以对防火墙的配置进行加锁只允许白名单上的应用程序进行修改。
“区域”选项卡
1 “服务”子选项卡 “服务”子选项卡可以定义区域中哪些服务是可信的可信的服务可以被绑定到该区域的 任意连接、接口和源地址访问 2 “端口”子选项卡 “端口”子选项卡用于设置允许访问的主机或网络访问的端口范围 3 “协议”子选项卡 用于添加所有主机或网络均可访问的协议 4 “源端口”子选项卡 可以添加额外的源端口或范围连接到这台主机的所有主机或网 络均可访问设置源端口时可以设置某一个端口号或者是端口范围同时还需要选择对应的 TCP 或 UDP 协议。 5 “伪装”子选项卡 用于把私有网络地址映射到公有的 IP 地址该功能目前只适用于 IPv4 6 “端口转发”子选项卡 可以将指定端口映射到另一个端口或其他主机的指定端口在设置端口转发时同样需要选择协议类型且该功能也仅支持 IPv4。 7 “ICMP 过滤器”子选项卡 ICMP 主要用于在联网的计算机间发送出错信息但也发送类似 ping 请求以及回应等信息。在“ICMP 过滤器”子选项卡中可以选择应该被拒绝的ICMP 类型其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制
“服务”选项卡 服务是端口、协议、模块和目标地址的组合并且“服务”选项卡只能在“永久”配置视图中修改“运行时”配置中的服务是不可以修改的。 与“区域”选项卡不同“服务”选项卡仅包含五个子选项卡。 其中“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。 1“模块”子选项卡 是用于设置网络过滤的辅助模块 2“目标地址”子选项卡 如果某服务指定了目标地址服务项目仅限于目标地址和类型如果 IPv4 与 IPv6 均为空则没有限制
改变防火墙设置
要立刻改变现在的防火墙设置须确定当前视图设定在运行时。或者从下拉菜单中选择永久Permanent编辑下次启动系统或者防火墙重新加载时执行的设定。在运行时Runtime模式下更改防火墙的设定时一旦您启动或者清除连接服务器的 复选框选择立即生效。在 Permanent 模式下更改防火墙的设定仅仅在重新加载防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标或者点击 选项菜单选择重新加载防火墙
修改默认分区
要设定一个将要被分配新接口的分区作为默认值则启动 firewall-config从菜单栏选择选项卡由下拉菜单中选择修改默认区域出现默认区域窗口。从给出的列表中选择您需要用的分区作为默认分区点击确定按钮即可。
firewall-cmd 命令
1. firewalld 服务管理
# 启动服务
[rootbogon ~]# systemctl start firewalld
# 设置开机自启动
[rootbogon ~]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1. service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/basic.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
# 如果 firewalld 正在运行通过 systemctl status firewalld 或 firewall-cmd 命令可以查看其运行状态。
# 查看防火墙状态
[rootbogon ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)Active: active (running) since 三 2024-06-26 09:03:16 CST; 1s agoDocs: man:firewalld(1)Main PID: 2898 (firewalld)Tasks: 2CGroup: /system.slice/firewalld.service└─2898 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid6月 26 09:03:15 bogon systemd[1]: Starting firewalld - dynamic firewall daemon...
6月 26 09:03:16 bogon systemd[1]: Started firewalld - dynamic firewall daemon.
6月 26 09:03:16 bogon firewalld[2898]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future rel...ling it now.
Hint: Some lines were ellipsized, use -l to show in full.
# 查看防火墙状态
[rootbogon ~]# firewall-cmd --state
running
# 如果想要禁用 firewalld执行以下命令即可实现
# 关闭 firewalld
[rootlocalhost ~]# systemctl stop firewalld
# 设置 firewalld 开机不自启动
[rootlocalhost ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.2. 获取预定义信息
firewall-cmd 预定义信息主要包括三种可用的区域、可用的服务以及可用的 ICMP 阻塞类型具体的查看命令如下所示
# 查看有哪些区域
# 显示预定义的区域
[rootbogon ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
# 查看有哪些服务
# 显示预定义的服务
[rootbogon ~]# firewall-cmd --get-service
# 显示预定义的ICMP 类型
[rootbogon ~]# firewall-cmd --get-icmptypesfirewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示
destination-unreachable目的地址不可达echo-reply应答回应pongparameter-problem参数问题redirect重新定向router-advertisement路由器通告router-solicitation路由器征寻source-quench源端抑制time-exceeded超时timestamp-reply时间戳应答回应timestamp-request时间戳请求
3. 区域管理
使用 firewall-cmd 命令可以实现获取和管理区域为指定区域绑定网络接口等功能
firewall-cmd 命令的区域管理选项说明 选项说明--get-default-zone显示网络连接或接口的默认区域--set-default-zonezone 设置网络连接或接口的默认区域--get-active-zones显示已激活的所有区域--get-zone-of-interfaceinterface显示指定接口绑定的区域--zonezone --add-interfaceinterface为指定接口绑定区域--zonezone --change-interfaceinterface为指定的区域更改绑定的网络接口--zonezone --remove-interfaceinterface为指定的区域删除绑定的网络接口--list-all-zones显示所有区域及其规则[--zonezone] --list-all显示所有指定区域的所有规则省略--zone时表示仅对默认区域操作
1 显示当前系统中的默认区域。
[rootbogon ~]# firewall-cmd --get-default-zone
public2 显示默认区域的所有规则。
[rootbogon ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: dhcpv6-client sshports: 8080-8083/tcp 80/tcpprotocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: 3 显示网络接口 ens33 对应区域。
[rootbogon ~]# firewall-cmd --get-zone-of-interfaceens33
public4 将网络接口 ens33 对应区域更改为 internal 区域。
[rootbogon ~]# firewall-cmd --zoneinternal --change-interfaceens33
success
[rootbogon ~]# firewall-cmd --zoneinternal --list-interfaces
ens33
[rootbogon ~]# firewall-cmd --get-zone-of-interfaceens33
internal
5 显示所有激活区域。
[rootbogon ~]# firewall-cmd --get-active-zones
internalinterfaces: ens33
4. 服务管理
service 配置具有以下优点 通过服务名字来管理规则更加人性化。通过服务来组织端口分组的模式更加高效如果一个服务使用了若干个网络端口则服 务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
firewall-cmd 命令区域中服务管理的常用选项说明 选项说明[--zonezone] --list-services显示指定区域内允许访问的所有服务[--zonezone] --add-serviceservice为指定区域设置允许访问的某项服务[--zonezone] --remove-serviceservice删除指定区域已设置的允许访问的某项服务[--zonezone] --list-ports显示指定区域内允许访问的所有端口号[--zonezone] --add-portportid[-portid]/protocol为指定区域设置允许访问的某个/某段端口号包括协议名[--zonezone]--remove-portportid[-portid]/protocol删除指定区域已设置的允许访问的端口号包括协议名[--zonezone] --list-icmp-blocks显示指定区域内拒绝访问的所有 ICMP 类型[--zonezone] --add-icmp-blockicmptype为指定区域设置拒绝访问的某项 ICMP 类型[--zonezone] --remove-icmp-blockicmptype删除指定区域已设置的拒绝访问的某项 ICMP 类型省略--zone时表示对默认区域操作
1 为默认区域设置允许访问的服务。
# 显示默认区域内允许访问的所有服务
[rootbogon ~]# firewall-cmd --list-servicesdhcpv6-client ssh
# 设置默认区域允许访问http 服务
[rootbogon ~]# firewall-cmd --add-servicehttpsuccess[rootbogon ~]# firewall-cmd --list-servicesdhcpv6-client http ssh2 为 internal 区域设置允许访问的服务。
# 设置internal 区域允许访问 mysql 服务
[rootlocalhost ~]# firewall-cmd --zoneinternal --add-servicemysql
success
# 设置internal 区域不允许访问 samba-client 服务
[rootlocalhost~]# firewall-cmd --zoneinternal --remove-servicesamba-client
success
# 显示internal 区域内允许访问的所有服务
[rootlocalhost ~]# firewall-cmd --zoneinternal --list-services
dhcpv6-client mdns mysql ssh5. 端口管理
在进行服务配置时预定义的网络服务可以使用服务名配置服务所涉及的端口就会自动打开。但是对于非预定义的服务只能手动为指定的区域添加端口。
# 在 internal 区域打开 443/TCP 端口。
[rootlocalhost ~]# firewall-cmd --zoneinternal --add-port443/tcp
success
# 在 internal 区域禁止 443/TCP 端口访问
[rootlocalhost ~]# firewall-cmd --zoneinternal --remove-port443/tcp
success6. 两种配置模式
前面提到 firewall-cmd 命令工具有两种配置模式 运行时模式Runtime mode表示当前内存中运行的防火墙配置在系统或 firewalld 服务重启、停止时配置将失效永久模式Permanent mode表示重启防火墙或重新加载防火墙时的规则配置是永久存储在配置文件中的。 firewall-cmd 命令工具与配置模式相关的选项有三个 –reload重新加载防火墙规则并保持状态信息即将永久配置应用为运行时配置。–permanent带有此选项的命令用于设置永久性规则这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效若不带有此选项表示用于设置运行时规则。–runtime-to-permanent将当前的运行时配置写入规则配置文件中使之成为永久性配置。
