firewalld 防火墙

技能展示
理解frewalda方火墙基本原理
使用firewall-confg配置防火墙
使用firewall-cmd配置防火墙

简介

在hternet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如Web网站,电子邮件系统, FTP服务器,数据库系统等。那么,如何来保护这些服务器,过滤企业非授权的访问,甚至是·恶意的入侵呢?
本章将开始学习Linux系统中的防火墙-netiter frewalld ,括防火墙的结构与匹配流程以及如何编写防火墙规则

重点
熟悉frewalld预定义的网络区域
使用tirewall-contig 配置防火墙
使用firewall-cmd配置防火墙

理论讲解
Llinux防火墙基础
防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合,也是不同安全域之间信息的唯一出口。通过监测,限制并更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状态,且有选择地接受外部网络访问,在内外网之间架起一道屏障,以避免发生不可预知或潜在的入侵。从传统意义上来说防火墙技术分为三类:包过滤(Packet Filtering) .应用代理(Application Proxy). 状态检测(Stateful nspection),无论一个防火墙的实现过程有多复杂,归根结底都是在这三种技术的基础上进行扩展的。
Linux的防火墙体系主要工作在网络层,针对TCP/P数据包实时过滤和限制,属于典型的包过滤·防火墙(或称为网络层防火墙), Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用,在CantOS 7系统中几种防火墙共存: frewalld, iptables, ebtables.默认使用frewalld 管理netiter 系统,本书中重点讲解frewalld
netilter,指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在属于‘内核态” (Kermel Space,又称为内核空间]的防火墙功能体系。
frewalld.指用于管理Linux防火墙的命令程序,属于’用户态" (User Space,又称为用户空间)的防火墙管理体系。
后续内容中不严格区分ntfiter frewalld,者均可表示为Linx防火墙
firewalld概述
1. firewall 简介firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netifitear对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式,为了更加方便地组织和管理防火墙, frewalla 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持PV4, PV6防火墙设置以及以太网桥,并且拥有两种配置模式;运行时配置与永久配置,它还支持服务或应用程序直接添加防火墙规则接口。
2. firewalld网络区域firewalld 将所有的网络数据流量划分为多个区域,从而简化防护墙管理。根据数据包的源P地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则,对于进入系统的数据包,首先检查的就是其源地址。
若源地址关联到特定的区域,则执行该区域所制定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则。
默认区域不是单独的区域,而是指向系统上定义的某个其他区域,默认情况下,默认区域是public,但是系统管理员可以更改默认区域,以上匹配规则,按照先后顺序,第一个匹配的规则胜出。
在每个区域中都可以配置其要打开或者关闭的一系列服务或端口, firewald 的每个预定义的区域都设置了默认打开的服务,表2-1中列出了firewalld 的预定义区域说明
firewalld的预定义区域说明


一．Firewalld防火墙
1.防火墙的作用和特定
1）防火墙的作用
增强安全性
对传输的神经病进行检查
2）防火墙的特定
工作在网络层对数据包进行过滤
防火墙内访问外策宽松
2.防火墙类型
1）硬件防火墙
稳定性强
可靠性强
处理数据速度快
ASA.华为防火墙.深信服防火墙
2）软件防火墙
稳定性差
处理数据速度慢
Firewalld,iptables,TMG,ISA
3.防火墙功能分类
1）应用代理防火墙
对应用层程序进行监控
限制应用程序访问数据或者网络
2）网络防火墙
对传输的数据包进行过滤
Iptables,firewalld都属于网络防火墙
3）状态化防火墙
硬件防火墙都属于状态防火墙
根据conn表转发数据
4.防火墙内核和防火墙管理工具
1）防火墙内核
netfilfer属于Linux的防火墙内核
决定系统是否支持防火墙功能
2）Firewalld
提供的是管理防火墙的内核程序
5.firewalld数据处理流程和常见区域
1）firewalld处理流程
源地址所在接口区域配置防火墙规则，执行接口所在区域防火墙规则
源地址所在接口没有关联到区域中，执行进入防火墙接口区域所在的规则
接口没有关联到区域中，执行默认区域中的规则，firewalld默认区域是public区域
2）firewalld常见的区域
trusted:允许所有数据进出，一般内部网络使用
home:拒绝流量进入，允许流量出，允许ssh.ipp-client,smba-client,dhcp服务进入
internel:功能和home一样
work:拒绝流量进入，允许流量出
public:拒绝流量进入，允许流量出，ssh,dhcp流量进入
external:拒绝流量进入，允许出和允许ssh服务，一般企业外网使用
dmz:非军事化区域，拒绝流量进入，允许ssh服务进入
block:拒绝流量进入，允许流量出
drop:拒绝任何流量
6.firewalld工具类型
1）firewalld-cmd
命令行工具
配置简单灵活
2）firewalld-config
图形化配置防火墙使用
配置简单
7.防火墙的网络类型
1）双向外围网络
防火墙只有两个区域
一个内网一个外网
2）三向外围网络
防火墙有三个区域
一个内网
一个外网
一个DMZ
3）背靠背网络
两台防火墙中间是服务
二．配置firewalld防火墙的基本应用
1.防火墙基础操作
1）启动防火墙服务
[root@Centos ~]# systemctl start firewalld
2）设置开机启动
[root@Centos ~]# systemctl enable firewalld
3）查看防火墙服务允许状态
[root@Centos ~]# systemctl status firewalld

4）查看防火墙的区域类型
[root@Centos ~]# firewall-cmd --get-zones

5）查看防火墙的默认区域
[root@Centos ~]# firewall-cmd --get-default-zone

6）查看ICMP协议帮助
[root@Centos ~]# firewall-cmd --get-icmptypes

2.防火墙区域的基本配置

1）接口加入到trusted区域
[root@Centos ~]# firewall-cmd --add-interface=ens32 --zone=trusted

2）修改trusted为默认区域
[root@Centos ~]# firewall-cmd --set-default-zone=trusted

3）查看ens32网卡所在的区域
[root@Centos ~]# firewall-cmd --get-zone-of-interface=ens32

4）备份ens34网卡和ens35网卡
[root@Centos ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-
scripts/ifcfg-ens34
[root@Centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens34

[root@Centos ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-
scripts/ifcfg-ens35
[root@Centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens35

重启网卡
[root@Centos ~]# systemctl restart network
5）修改ens32网卡区域到dmz
[root@Centos ~]# firewall-cmd --change-interface=ens32 --zone=dmz

6）ens32网卡从DMZ区域删除
[root@Centos ~]# firewall-cmd --remove-interface=ens32 --zone=dmz

7）查看所有区域中的规则
[root@Centos ~]# firewall-cmd --list-all-zones

8）查看指定区域中的规则
[root@Centos ~]# firewall-cmd --zone=external --list-all

9）centos1开启路由功能
[root@Centos ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

10）centos02_LAN内网，centos03_WAN外网,centos04_DMZ
Centos03


11）不同网络通信配置centos02网关

GATEWAY=192.168.100.10
12）重启网卡
[root@centos02 ~]# systemctl restart network
13）查看网关
[root@centos02 ~]# route -n
14）添加到trusted区域
[root@centos02 ~]# firewall-cmd --add-interface=ens32 --zone==trusted
15）默认trusted区域
[root@centos02 ~]# firewall-cmd --set-default-zone=trusted

18）开启防火墙
[root@centos02 ~]# systemctl start firewalld
[root@centos02 ~]# systemctl enable firewalld
19）修改centos03网卡

20）修改centos04网卡

21）启动防火墙

3.配置防火墙规则
1）允许客户端访问DMZ服务器的apache服务
[root@centos04 ~]# firewall-cmd --zone=dmz --add-service=http

2）允许客户端访问DMZ服务器的80端口
[root@centos04 ~]# firewall-cmd --zone=dmz --add-port=8/tcp

3）删除80端口访问规则
[root@centos04 ~]# firewall-cmd --zone=dmz --remove-port=80/tcp
4）查看允许访问的协议和端口
[root@centos04 ~]# firewall-cmd --zone=dmz --list-ports
5）禁止发送icmp协议请求

firewalld防火墙相关推荐

1. 第8章 Iptables与Firewalld防火墙

   本章分别使用iptables.firewall-cmd.firewall-config和TCP Wrappers等防火墙策略配置服务 iptables服务把用于处理或过滤流量的策略条目称之为规则,多条 ...

2. 理论+实操： linux中firewalld防火墙基础讲解（转载）

   前言 firewalld概述.firewalld 中的d代表服务 firewalld 和 iptables 的关系 firewalld 网络区域 firewalld 防火墙的配置方法 firewall ...

3. CentOS7、REHL7的firewalld防火墙使用简单说明

   title: CentOS7.REHL7的firewalld防火墙使用简单说明 categories: Linux tags: - Linux timezone: Asia/Shanghai date ...

4. centos7 防火墙_Linux系统安全Centos 7的Firewalld防火墙基础

   一.Linux防火墙的基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙).Linux系统的防火墙体系基于内核共存:fire ...

5. Firewalld，iptables概述（netfilter和Firewalld，iptables三者之间的关系，四表五链，Firewalld防火墙的配置方发，SNAT,DNAT了解）

   文章目录 Firewalld,iptables概述 Firewalld了解 iptables了解 Firewalld和iptables的关系 netfilter Firewalld.iptables ...

6. 防火墙简介（二）——firewalld防火墙

   防火墙简介(二)--firewalld防火墙 一.firewalld防火墙简介 二.firewalld 与 iptables 的区别 三.firewalld 区域的概念 1.firewalld防火墙9 ...

7. Linux基础（iptables与firewalld防火墙）

   iptables 在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙.尽管新型的fierwalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种 ...

8. firewalld防火墙配置

   firewalld是自CentOS 7以来带有一个动态的.可定制而无需重新启动防火墙守护程序或服务.firewall-cmd就是iptables/nftable的前端.在CentOS 8中,nftab ...

9. 配置聚合连接 和 配置firewalld防火墙

   1 案例1:启用SELinux保护 1.1 问题 本例要求为虚拟机 server0.desktop0 配置SELinux: 确保 SELinux 处于强制启用模式 在每次重新开机后,此设置必须仍然有效 ...

10. firewalld防火墙配置、测试服务、高级配置与IP伪装、端口转发

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Firewalld防火墙 防火墙基础 一.防火墙配置 二.使用防火墙安装http服务测试分别测试内网.外网.dmz 三.firewal ...

最新文章

1. 题目1460：Oil Deposit
2. js加载html的head偶尔失效,外部 js 文件偶尔会加载失败
3. BZOJ-1045 糖果传递 数学+递推
4. 2018年4月java自考真题,全国2018年4月自考互联网数据库考试真题
5. ext js gridpanel绑定到动态生成的store
6. 使用LinkedHashMap实现LRU算法
7. 桃李春蛋糕的配料之一 - 蛋糕预拌粉
8. ScrollView常用属性汇总
9. 计算机英语微课,【计算机英语论文】大学计算机基础微课设计研究
10. 助创cms众筹 php,【教程】助创cms众筹系统完整测试流程详解
11. 2019 年，数据分析师怎样才能更抢手？
12. cad2008安装教程_品茗BIM、平面图软件安装教程
13. 堆与栈 java_JAVA中堆和栈的区别 - 勇往直前路飞桑的个人空间 - 51Testing软件测试网 51Testing软件测试网-软件测试人的精神家园...
14. php 公交查询,php公交车线路查询系统
15. 实现用python刷王者荣耀金币
16. 2.4 放大电路静态工作点的稳定
17. 压力传感器/压力变送器分类
18. 【python绘制地图】使用folium制作地图，可解决多数问题
19. objectArx --- 层表、字体样式表
20. VMware虚拟机没有卸载干净无法重装的问题解决之道

热门文章

1. eslint跳过检测
2. 使用ganymed工具调用ssh2
3. 01前端学习之HTML5
4. InterSystem Ensemble: BS- BP- BO
5. HDU2717 Catch That Cow ( BFS )
6. 前端学习 之 JavaScript基础
7. Python一些可能用的到的函数系列11 本地哈希和服务器哈希比对
8. Themida: sorry, this application cannot run under a virtual
9. 怎么让静态照片动起来，教程来咯！
10. eclipse 创建maven project时候，到retrieving archetypes就卡住的问题(华为云maven仓库可解决)