Каталог статей
- Один, обзор firewalld
- Во-вторых, разница между firewalld и iptables
- В-третьих, концепция зоны firewalld
- Четыре, брандмауэр firewalld предопределил 9 областей
- Пятый, процесс обработки данных Firewalld
- Шесть, метод настройки межсетевого экрана Firewalld
- Семь, метод настройки межсетевого экрана firewalld
- 8. Часто используемые параметры команды firewall-cmd
Один, обзор firewalld
-
Межсетевой экран firewalld является инструментом управления межсетевым экраном по умолчанию в системе Centos 7. Он заменяет предыдущий межсетевой экран iptables. Он также работает на сетевом уровне и относится к межсетевому экрану с фильтрацией пакетов.
-
И firewalld, и iptables - это инструменты, используемые для управления межсетевыми экранами (принадлежащими пользовательскому режиму) для определения различных функций правил межсетевого экрана. Внутренняя структура направлена на подсистему сетевой фильтрации netfilter (принадлежащую режиму ядра) для реализации функции межсетевого экрана с фильтрацией пакетов.
-
firewalld предоставляет инструмент динамического управления брандмауэром, который поддерживает сетевые соединения и уровни безопасности интерфейса, определенные сетевыми зонами. Он поддерживает IPV4, настройки брандмауэра IPv6 и мост Ethernet (может использоваться в некоторых расширенных сервисах, таких как облачные вычисления) и имеет два режима конфигурации:Конфигурация времени выполнения и постоянная конфигурация
Во-вторых, разница между firewalld и iptables
1.
iptables в основном основан на интерфейсах для установки правил, определяющих безопасность сети.
Firewalld основан на зонах, и для разных зон установлены разные правила для обеспечения сетевой безопасности. Аналогично настройке аппаратного межсетевого экрана.
2.
iptables хранит конфигурацию в / etc / sysconfig / iptables
firewalld хранит конфигурацию в различных файлах XML в / etc / firewalld / (приоритет загрузки) и / usr / lib / firewalld / (файл конфигурации по умолчанию).
3.
Каждое отдельное изменение с использованием iptables означает очистку всех старых правил и чтение всех новых правил из / etc / sysconfig / iptables.
Использование firewalld не создает никаких новых правил, просто учитывает различия в правилах. Следовательно, firewalld может изменять настройки во время выполнения без потери текущего соединения.
4.
Тип межсетевого
экрана iptables - статический межсетевой экран, а тип межсетевого экрана - динамический.
В-третьих, концепция зоны firewalld
Для упрощения управления firewalld разделяет весь сетевой трафик на несколько зон. Затем, в соответствии с IP-адресом источника пакета данных или входящим сетевым интерфейсом и другими условиями, трафик передается в соответствующую область. Каждая область определяет список портов и служб, которые она открывает или закрывает.
Четыре, брандмауэр firewalld предопределил 9 областей
| площадь | эффект |
|---|---|
| доверенный (зона доверия) | Разрешить весь входящий трафик (обычно используется во внутренней сети) |
| общественная (общественная зона) | Входящий трафик, соответствующий предопределенной службе ssh или dhcpv6-client, разрешен, а остальной - запрещен. Это область по умолчанию для вновь добавленных сетевых интерфейсов. |
| внешнее (внешнее пространство) | Разрешить входящий трафик, соответствующий предопределенной службе ssh, и отклонить остальной. Исходящий трафик IPV4, который будет перенаправляться через эту область, по умолчанию будет замаскирован, что может быть использовано для внешних сетей, в которых для маршрутизатора включена маскировка. |
| дом (семейная зона) | Разрешить входящий трафик, который соответствует предопределенным службам ssh, ipp-client, mdns, samba-client или dhcpv6-client, и отклонить остальные |
| внутренняя (внутренняя область) | Значение по умолчанию такое же, как и для домашнего региона. |
| работа (рабочая зона) | Входящий трафик, соответствующий предопределенной службе ssh. Ipp-client. Dhcpv6-client, разрешен, а остальной трафик отклоняется. |
| дмз (изолированную территорию еще называют демилитаризованной зоной) | Разрешить входящий трафик, соответствующий предопределенной службе ssh, и отклонить остальной. |
| блок (запретная зона) | Запретить весь входящий трафик |
| падение (область падения) | Весь входящий трафик отбрасывается, и никакой ответ об ошибке, включая ICMP, не генерируется. |
В конечном итоге безопасность области зависит от правил, установленных администратором в этой области.
Эта зона похожа на защитную дверь для входа в хост. Каждая зона имеет правила с разной степенью ограничений, и только трафик, который соответствует этим правилам, может проходить. В зависимости от размера сети можно использовать одну или несколько областей, но любая активная область должна быть связана, по крайней мере, с адресом источника или интерфейсом.
По умолчанию общедоступная область является областью по умолчанию, включая все интерфейсы (сетевые карты).
Пятый, процесс обработки данных Firewalld
Проверить исходный адрес источника данных
- Если исходный адрес связан с определенной областью, правила, указанные в этой области, выполняются.
- Если исходный адрес не связан с определенной областью, используйте область входящего сетевого интерфейса и выполните правила, указанные в этой области.
- Если сетевой интерфейс не связан с определенной областью, используйте область по умолчанию и выполните правила, указанные в области (вообще говоря, правила области по умолчанию запрещают все)
Шесть, метод настройки межсетевого экрана Firewalld
1. Конфигурация среды выполнения
- Действуют в реальном времени и продолжают действовать, пока Firewalld не перезапустит или не загрузит конфигурацию.
- Не прерывает существующие соединения
- Невозможно изменить конфигурацию службы
2. Постоянная конфигурация
- Не вступает в силу немедленно, если Firewalld не перезапустит или не перезагрузит конфигурацию.
- Отключить существующее соединение
- Может изменять конфигурацию службы
Семь, метод настройки межсетевого экрана firewalld
1. Используйте инструмент командной строки firewall-cmd. (Обычно используется)
2. Используйте графический инструмент firewall-config.
3. Запишите файл конфигурации в / etc / firewalld /.
systemctl запустить firewalld.service
8. Часто используемые параметры команды firewall-cmd
(1) Общие команды
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
--get-zone-of-source=<source> [/<mask>] :显示指定源地址绑定的区域
--zone=<zone> -add-source=<source> [/<mask>] :为指定源地址绑定区域
--zone=<zone> -change-source=<source> [/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> -remove-source=<source> [/<mask>] :为指定的区域删除绑定的源地址
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-al1 :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有ICMP类型
(2) Региональное управление
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
(3) Управление услугами
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public区域的httpd服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-al1
#添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
--runtime-to-permanent :将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
(4) Управление портом
(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048-2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all