firewalld概述
firewalld和iptables的关系
firewalld网络区域
firewalld防火墙的配置方法
firewalld-config图形工具
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置(重启后则设置不再生效)
永久配置(声明于配置文件中)
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一一个活跃区域至少需要关联源地址或接口
默认情况下,public区 域是默认区域,包含所有接口(网卡)
检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
不立即生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置
运行时配置/永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态
在安装Cent0S7 系统时,会自动安装firewalld 和图形化工具firewall-config。 执行以下命令可以启动firewalld 并设置为开机自启动状态。
[root@localhost ~]# systemctl start firewalld//启动firemal1d (root@localhost ~) # systemctl启用firewalld//设置firewalld为开机自启动 如果firewalld正在运行,通过systemctl地位firewalld或firewall-cmd命令可以查看其运行状态。 (root@localhost ~) # firewalld systemctl状态 (root@1ocalhost ~) # systemct1停止firewalld//停止firewal1d (root@localhost ~) # systemct1禁用firewalld//设置firewalld开机不自启动
firewall-cmd预定义信息主要包括三种:可用的区域,可用的服务以及可用的ICMP阻塞类型,具体的查看命令如下所示。
[root@localhost ~] # firewall-cmd——get-zones//显示预定义的区域 减少内部外部信任家里工作dmz公共块 (root@localhost ~) # firewall-cmd -得到服务//显示预定义的服务 RH - Sate1ite-6 amanda-client阿曼达-k5-client bacul abacula-client cephcephmondhcp dhcpv6 dhcpv6-client dnsdocker——registrx dropbox-lansyncfreeipa-1dap …… (root@localhost ~) # firewall-cmd——get-icmptypes//显示预定义的ICMP类型 destinatian-unreachable回应应答回应请求parameter-problem定向router-advertisement router-solici大地>目的地不可到达:目的地址不可达。 回应应答:应答回应(乒乓球)。 parameter-problem:参数问题。 重定向:重新定向。 路由器-广告:路由器通告。 路由器-征集:路由器征寻。 source-quench:源端抑制。 超时:超时。 timestamp-reply:时间戳应答回应。 时间戳请求:时间戳请求。firewalld防火墙概述及字符管理工具