firewalld防火墙基础

标签: firewalld 防火墙 基础 | 发表时间:2022-09-17 17:14 | 作者:什么都学
出处:https://juejin.cn/backend

theme: qklhk-chocolate

firewalld概述

firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙

  firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤系统(属于内核态)来实现包过滤防火墙功能
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具
它支持IPV4 IPV6防火墙设置以及以太网(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式,运行时配置与永久配置

firewalld和iptables的区别

firewalld iptables
基于区域内分防火墙规则来过滤数据包 基于网络接口的规则来过滤数据包
不会修改当前服务配置,不会现有连接 修改完配置会立即生效,有可能会中断当前连接
/etc/firewalld /usr/lib/firewalld /etc/sysconfig/iptables
动态防火墙 静态防火墙

firewalld 区域的概念

  firewalld防火墙为了简化管理,将所有网络流量分为多个区域。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域都定义了自己打开或者关闭的端口和服务列表

firewalld 9个区域

  1.trusted(信任区域):允许所有的传入流量
2.public(公共区域):允许与ssh或dhcp-client预定义服务匹配的传入流量,其余均拒绝,是新添加网络接口的默认区域
3.external(外部区域):允许ssh预定义服务匹配的传入流量,其余均拒绝,默认将通过此区域转发的IPV4传出流量进行地址伪装,可用于为路由器启动了伪装功能的外部网络
4.home(家庭区域):允许与 ssh mdns samba-client或dhcpv6-client预定于服务匹配的传入流量,其余均拒绝
5.internet(内部区域):默认值时与home区域相同
6.work(工作区域):允许与ssh dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
7.dmz(隔离区域也被称为非军事区域):允许与ssh预定义服务匹配的传入流量,其余均拒绝
8.block(限制区域):拒绝所有的传入流量
9.drop(丢弃区域):丢弃所有传入流量,并且不产生包括TCMP的错误相应
最终一个区域的安全程度是取决于管理员在此区域中设置的规则

区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入

可以根据网络规模,使用一个或者多个区域,但是任何一个活跃区域,至少需要关联 源地址或接口

默认情况下,public区域是默认区域,包含所有接口(网卡)

firewalld数据处理流程

firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量传入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址

firewalld检查数据包的源地址的规则

  1.若源地址关联到特定的区域 (即源地址或接口绑定的区域有冲突),则执行该区域所指定的规则
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所指定的规则

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

小操作

  
 --get-default-zone :显示当前默认区域
 --set-default-zone=<zone> :设置默认区域
 ​
 --get-active-zones :显示当前正在使用的区域及其网卡接口
 --get-zones:显示所有可用的区域
 ​

 --get-zone-of-interface=ens33 :查看指定接口ens33绑定的区域
 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域
 --zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口
 --zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口
 ​

 --zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域
 --zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址
 --zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址
 ​

 --list-all-zones :显示所有区域及其规则
 --zone=<zone> --list-all :显示所有指定区域的所有规则,若不指定区域表示仅对默认的区域操作
 ​

 --zone=<zone> --list-service :显示指定区域内允许访问的所有服务
 --zone=<zone> --add-service=<service> :为指定的区域设置允许访问的某项服务
 --zone=<zone> --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
 ​

 --zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号
 --zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号(包括协议)
 --zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号(包括协议)
 ​

 --zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
 --zone=<zone> --add-icmp-block=<icmptype>:为指定区域设置允许访问的某项icmp类型
 --zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型
 firealld-cmd --get-icmptypes :显示所有icmp类型


firewall-cmd --get-default-zone image.png firewall-cmd --set-default-zone=home image.png firewall-cmd --get-active-zone image.png firewall-cmd --get-zones

image.png

firewall-cmd --get-zone-of-interface=ens33 image.png

firewall-cmd --add-interface=ens35 image.png firewall-cmd --change-interface=ens35 image.png firewall-cmd --remove-interface=ens35 image.png firewall-cmd --zone=home --add-source=2.2.2.2 image.png firewall-cmd --zone=home --add source=192.168.100.0/24 image.png firewall-cmd --list-all-zones image.png firewall-cmd --list-all --zone=public image.png firewall-cmd --list-services --zone=public image.png firewall-cmd --zone=public --add-service=http image.png firewall-cmd --zone=public --remove-service=http image.png

image.png

image.png

image.png

image.png

相关 [firewalld 防火墙 基础] 推荐:

firewalld防火墙基础

- - 掘金 后端
firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙. firewalld和iptables的区别. 基于区域内分防火墙规则来过滤数据包. 基于网络接口的规则来过滤数据包. 不会修改当前服务配置,不会现有连接. 修改完配置会立即生效,有可能会中断当前连接.

竞速下一代防火墙

- wuwu - 弯曲评论
由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载. 本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题. 尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改. 文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢.

防火墙是科学家的敌人

- - Solidot
在一个数据驱动的世界里,共享数据是必不可少的. 因为复现的需要,科学家对数据共享尤为重视. 但在中国,你不能确信自己肯定能正常访问到数据或其他人能正常访问到你共享的数据. 在审查日益收紧的情况下,你不知道数据存放的网站是否会在某一天突然无法访问. 互联网本来是连通世界的伟大发明,但防火长城赋予了“越过长城走向世界”真正的含义,防火长城是科学的敌人,是中国科学家的敌人.

[转]iptables防火墙与NAT服务

- - 小鸥的博客
iptables防火墙与NAT服务. (1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性. (2)通过审查经过每一个数据包,判断它是否有相匹配的过滤规则,根据规则先后顺序一一进行比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作,若都不能满足,则将数据包丢弃,从而保护网络安全.

openresty+lua实现WAF应用防火墙

- - C1G军火库
pcre没找到,编辑时加上–with-pcre=../pcre-8.30 \. 4.下载ngx_cache_purge清缓组件. 伪装openresty为xcdn. 4.下载和配置 ngx_lua_waf. nginx下常见的开源 waf 有 mod_security、naxsi、ngx_lua_waf 这三个,ngx_lua_waf 性能高和易用性强,基本上零配置,而且常见的攻击类型都能防御,是比较省心的选择.

重庆建立没有防火墙的“云特区”

- Bryan - Solidot
重庆以其红色口味闻名中国,然而出人意料的是它在互联网建设上正走在中国前列. 据《南方周末》报导(原文已删除,快照),重庆“云特区”是中国唯一特批的“特别管理区”,高墙内数据中心与国内互联网物理隔离,不经防火长城,通过专用光缆直接连接国际互联网. 外商在这个名为“国际离岸云计算特别管理区”开展离岸数据业务,可以不经过国家关口局的数据检查,可以获得电信和数据营业执照,甚至可以对电信业务100%控股.

Gmail服务疑遭防火墙不定时封锁

- Alei - Solidot
过去几周,中国的Gmail用户发现访问十分困难,经常出现“找不到服务器”等错误信息. 有人利用2台VPS服务器,一台在上海,一台在香港,运行测试程序,对Google的HTTP服务和HTTPS服务同时进行测试. 结果显示,HTTP服务连接正常,HTTPS服务连接失败的周期为15分钟左右(最初几天是间隔10分钟),15分钟正常访问服务,15分钟TCP协议无法建立连接,周而复始.

顶级防火墙Outpost Firewall Pro 7.5(附注册码)

- 安得米 - 软矿
Agnitum旗下的防火墙软件Outpost Firewall Pro 深得人心,是一款功能强大的防火墙软件. 也正因如此Outpost Firewall Pro的注册码(序列号)变得一码难求. 即使网上泄露出有效注册码,也很大机会被封杀. Agnitum Outpost Firewall 功能之强大,可以秒杀很多防火墙软件,包括了广告和图片过滤、内容过滤、DNS缓存等功能.

欧盟商会称防火墙升级影响企业业务

- - Solidot
中国欧盟商会表示,中国当局对其网络防火墙的升级已经直接造成在中国国内访问境外网络服务器的可能性大大降低,从而导致企业使用网络获取和交流信息的效率降低. 不少欧洲企业在华设有的分公司都在使用VPN,员工们对这一系统的运行方式非常熟悉,他们甚至可以使用中国普通网民无法访问的脸书以及推特. 此外,几乎所有驻华外国记者也都在使用VPN,或者有互联网专线.