防火墙基础Firewalld命令配置解析
程序员文章站
2024-03-20 23:02:52
...
前言
在Internet中,企业通过架构各种应用系统来为用户提供各种网络服务,如FTP服务,电子邮件系统,Wed网站等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至恶意的攻击呢?通过防火墙就可以轻松实现了,其中防火墙分为Firewalld和iptables。
一 防火墙概述
1.1 Firewalld
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置:临时命令在重启前有效,重启后清空
永久配置:配置命令只有在重启后才能生效 +(--permanent)
1.2 Firewalld和iptables的关系
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”(面向硬件)
Firewalld/iptables
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”(面向用户)
1.3 Firewalld和iptables的区别
firewalld iptables
配置文件 /usr/lib/firewalld/ /etc/sysconfig/iptables
/etc/firewall/
对规则的修改 不需要全部刷新策略,不 需要全部刷新策略,丢失连接
丢失现行连接
防火墙类型 动态防火墙 静态防火墙
二 Firewalld
2.1 Firewalld网络区域
区域介绍
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口(网络接口—网卡)
默认情况下,public区域是默认区域,包含所有接口(网卡)
2.2 Firewalld数据处理流程
检查数据来源的源地址
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
外部流量效果:源地址是否关联
网卡的所属区域
源地址关联(1)优先级大于网卡关联(2,3)优先级
2.3 Firewalld防火墙的配置方法
运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置(临时有效,重新加载失效)
永久配置
不立刻生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 (永久有效,前提是需要重新加载)
现有连接(防火墙配置问题,客户端连接属性)
2.4 Firewall-config图形工具
2.4.1 应用解析
运行时配置/永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态
2.4.2 “区域”选项卡
“服务”子选项卡(**的区域以粗体显示,存在网卡,地址)
“端口”子选项卡(添加的协议,端口)
“协议”子选项卡
“源端口”子选项卡(开放端口范围)
“伪装”子选项卡 (nat)
“端口转发”子选项卡
“ICMP过滤器”子选项卡
2.4.3 “服务”选项卡
“模块”子选项卡
“目标地址”子选项卡
2.5 Firewall区域分类
firewalld将网卡对应到不同的区域(zone),zone默认共有9个
block dmz drop external home internal public trusted work
1.drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。
2.block(限制)
任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。
3.pubic(公共)
在公共区域内使用,不能相信网络内的其它计算机不会对您的计算机造成危害,只能接收经过选取的连接。
4.external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
5.dmz(非军事区)
用于您的非军事区的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
6.work(工作)
用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑,仅仅接收经过选择的连接。
7.home(家庭)
用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。
8.internal(内部)
用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接
9.trusted(信任)
可接受所有的网络连接。
2.6 /etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
三 Firewall-cmd命令行工具
3.1 用法示例:
1.显示可以使用容易理解的名称表示的所有服务
[aaa@qq.com ~]# ls /usr/lib/firewalld/services
2.查看支持的所有服务名称
[aaa@qq.com ~]# firewall-cmd --get-services
3.查看所有区域
[aaa@qq.com ~]# firewall-cmd --get-zones
4.查看当前默认区域
[aaa@qq.com ~]# firewall-cmd --get-default-zone
5.查看当前指定网卡所处的区域
[aaa@qq.com ~]# firewall-cmd --get-zone-of-interface=ens33
6.查看指定区域中有没有相关的服务开放
查看public(默认)区域中有没有ssh服务开启(yes/no)
[aaa@qq.com ~]# firewall-cmd --zone=public --query-service=ssh
[aaa@qq.com ~]# firewall-cmd --zone=public --query-service=ftp
[aaa@qq.com ~]# firewall-cmd --zone=public --query-service=dns
[aaa@qq.com ~]# firewall-cmd --zone=public --query-service=dhcp
7.查看当前区域开放的服务
[aaa@qq.com ~]# firewall-cmd --list-services(不指定区域,默认与当前网卡区域一样默认区域)
8.查看所有区域开放的服务
[aaa@qq.com ~]# firewall-cmd --list-all-zones
9.查看指定区域开放的服务
查看public(默认)区域开放的服务
[aaa@qq.com ~]# firewall-cmd --list-services --zone=public
[aaa@qq.com ~]# firewall-cmd --list-services --zone=home
[aaa@qq.com ~]# firewall-cmd --list-services --zone=work
[aaa@qq.com ~]# firewall-cmd --list-services --zone=dmz
10.查看指定区域开放的详细服务
查看public(默认)区域中开放的详细服务
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# firewall-cmd --list-all --zone=dmz
11.防火墙重启(与–permanent配合使用)
[aaa@qq.com ~]# firewall-cmd --reload
3.2 设置服务或端口放行
1.区域增加http服务
第一种方法(添加服务)
[aaa@qq.com ~]# yum -y install httpd
[aaa@qq.com ~]# echo "this is a tree." > /var/www/html/index.html
[aaa@qq.com ~]# systemctl start httpd
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
在public(默认)区域开启http服务,永久配置
[aaa@qq.com ~]# firewall-cmd --zone=public --add-service=http --permanent
[aaa@qq.com ~]# firewall-cmd --reload 防火墙重启
查看public区域所有开放的服务
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
进行验证
[aaa@qq.com ~]# curl http://20.0.0.10
第二种方法 (添加服务的端口号,协议)
查看http的端口号
[aaa@qq.com ~]# netstat -anpt | grep http
永久配置,区域public中的服务端口80
[aaa@qq.com ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# curl http://20.0.0.10
2.删除区域里开放的服务
[aaa@qq.com ~]# firewall-cmd --permanent --zone=public --remove-service=http
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
3.临时配置形式进行删除端口号添加服务配置
运行时配置:临时命令在重启前有效,重启后清空
[aaa@qq.com ~]# firewall-cmd --zone=public --remove-port=80/tcp
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
3.3 为网卡配置区域
1.为新的网卡配置区域
[aaa@qq.com ~]# ifconfig
[aaa@qq.com ~]# cd /etc/sysconfig/network-scripts/
[aaa@qq.com network-scripts]# cp ifcfg-ens33 ifcfg-ens37
[aaa@qq.com network-scripts]# vi ifcfg-ens37
[aaa@qq.com network-scripts]# systemctl restart network
[aaa@qq.com network-scripts]# ifconfig
直接在配置文件中修改服务所在的区域 (public-internal)
查看网卡所在区域
[aaa@qq.com ~]# firewall-cmd --get-zone-of-interface=ens37
[aaa@qq.com ~]# firewall-cmd --list-all --zone=internal
2.通过指定区域对应网卡
[aaa@qq.com ~]# firewall-cmd --permanent --zone=external --change-interface=ens37
[aaa@qq.com ~]# systemctl stop NetworkManager
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --get-zone-of-interface=ens37
3.4 配置拒绝服务设置
1.禁止访问public区域
[aaa@qq.com ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# ping 20.0.0.10
2.删除禁止访问区域public设置
[aaa@qq.com ~]# firewall-cmd --zone=public --remove-icmp-block=echo-request --permanent
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# ping 20.0.0.10
3.指定主机禁止ssh登录访问区域
[aaa@qq.com ~]# ssh aaa@qq.com20.0.0.10
[aaa@qq.com ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.11/32" service name="ssh" reject"
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# ssh aaa@qq.com20.0.0.10
3.5 设置默认区域
设置home区域为默认区域(无网卡,源地址配置,处于未**状态)
[aaa@qq.com ~]# firewall-cmd --set-default-zone=home
查看默认区域
[aaa@qq.com ~]# firewall-cmd --get-default-zone
查看home区域
[aaa@qq.com ~]# firewall-cmd --list-all --zone=home
**区域状态为活动状态
[aaa@qq.com ~]# firewall-cmd --zone=home --add-source=20.0.0.11/32
[aaa@qq.com ~]# firewall-cmd --list-all --zone=home
3.6 查看活动区域及端口
查看处于活动状态的区域
[aaa@qq.com ~]# firewall-cmd --get-active-zones
四 Firewalld防火墙项目
4.1 实验环境
4.2 需求描述
禁止主机ping服务器
只允许20.0.0.10主机访问SSH服务器
允许所有主机访问Apache服务
4.3 项目流程
1.禁止主机ping服务器
[aaa@qq.com ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all
[aaa@qq.com ~]# ping 20.0.0.11
[aaa@qq.com ~]# ping 20.0.0.11
- 只允许20.0.0.10主机访问SSH服务器
设置只有区域public配置20.0.0.10/32用户,关联20.0.0.10地址可登录SSH服务
[aaa@qq.com ~]# firewall-cmd --list-all
[aaa@qq.com ~]# firewall-cmd --zone=public --add-source=20.0.0.10/32 --permanent
设置默认区域为home
[aaa@qq.com ~]# firewall-cmd --set-default-zone=home
设置网卡ens33关联默认区域ens33
[aaa@qq.com ~]# firewall-cmd --change-interface=ens33 --zone=home --permanent
[aaa@qq.com ~]# systemctl stop NetworkManager
[aaa@qq.com ~]# firewall-cmd --reload
查看home区域
[aaa@qq.com ~]# firewall-cmd --list-all
删除home区域关联的SSH服务
[aaa@qq.com ~]# firewall-cmd --zone=home --remove-service=ssh --permanent
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
允许20.0.0.10用户访问SSH服务
[aaa@qq.com ~]# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.10" service name="ssh" accept"
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# ssh aaa@qq.com20.0.0.11
[aaa@qq.com ~]# ssh aaa@qq.com20.0.0.11
按Firewalld数据处理流程
1.若20.0.0.10源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
源地址关联(1)优先级大于网卡关联(2,3)优先级
3.允许所有主机访问Apache服务
[aaa@qq.com ~]# yum -y install httpd
[aaa@qq.com ~]# echo "good day." > /var/www/html/index.html
[aaa@qq.com ~]# systemctl start httpd
[aaa@qq.com ~]# firewall-cmd --zone=public --add-service=http --permanent
success
[aaa@qq.com ~]# firewall-cmd --zone=home --add-port=80/tcp --permanent
[aaa@qq.com ~]# firewall-cmd --reload
[aaa@qq.com ~]# firewall-cmd --list-all
[aaa@qq.com ~]# firewall-cmd --list-all --zone=public
[aaa@qq.com ~]# curl http://20.0.0.11
[aaa@qq.com ~]# curl http://20.0.0.11
总结
通过以上的学习,可以初步了解防火墙的相关Firewalld的应用知识,为在生活的实际应用打下了坚实的基础。
上一篇: Kotlin中的inline作用
下一篇: poi导出excel报表