Firewalld概述
Firewalld简介
(1)支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具。
(2)支持IPv4, IPv6防火墙设置以及以太网桥接
(3)支持服务或应运程序直接添加防火墙规则口
(4)拥有两种配置模式
运行时配置
永久配置
Firewalld和iptables的关系
netfilter
(1)位于linux内核中的包过滤功能体系
(2)称为linux防火墙的“内核态”
Firewalld/iptables
(1) Centos7默认的管理防火墙规则的工具(Firewalld)
(2)称为linux防火墙的“用户态”
Firewalld和iptables的区别
Firewalld iptables 配置文件/usr/lib/firewalld/,/etc/firewalld//etc/sysconfig/iptables 对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接 防火墙类型 动态防火墙(灵活) 静态防火墙Firewalld网络区域
<编辑>区域介绍编辑> 区域 描述 下降(丢失) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络练连接 块(限制) 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和icmp6-adm-prohibited信息所拒绝 公共(公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接 外部(外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接 dmz(非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接 工作(工作) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接用于家庭网络。 回家(家庭) 您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接 内部(内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接 信任(信任) 可接受所有的网络连接Firewalld网络区域
<编辑>区域介绍编辑>(1)区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
(2)可以使用一个人或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
(3)默认情况下,公共区域是默认区域,包含所有接口(网卡)
检查数据来源的源地址
(1)若源地址关联到特定的区域,则执行该区域所指定的规则
(2)若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
(3)若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
Firewalld防火墙的配置方法
运行时配置h5>
(1)实时生效,并持续至Firewalld重新启动或重新加载配置
(2)不中断现有连接
(3)不能修改服务配置
永久配置h5>
(1)不立即生效。除非Firewalld重新启动或重新加载配置
(2)中断现有连接
(3)可以修改服务配置
Firewalld-config图形工具
<编辑>运行时配置/永久配置编辑><编辑>重新加载防火墙编辑>
更改永久配置并生效
(1)”服务”子选项卡
(2)“端口”子选项卡
(3)“协议”子选项卡
(4)“源端口”子选项卡
(5)“伪装”子选项卡
(6)“端口转发“子选项卡
(7)“ICMP过滤器”子选项卡