Firewalld防火牆基礎

Firewalld防火牆基礎``

Firewalld概述

Firewalld簡介

支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具

支持IPv四、IPv6防火牆設置以及以太網橋

支持服務或應用程序直接添加防火牆規則接口

擁有兩種配置模式

​ 運行時配置

​ 永久配置

Firewalld和iptables的關係

netfilter

位於Linux內核中的包過濾功能體系

稱爲Linux防火牆的「內核態」

Firewalld/iptables

CentOS7默認的管理防火牆規則的工具

稱爲Linux防火牆的「用戶態」

Firewalld和iptables的區別

Firewalld網絡區域

區域介紹

其中在不對網卡調整時。public爲默認模式

區域如同進入主機的安全門，每一個區域都具備不一樣限制程度的規則
能夠使用一個或多個區域，可是任何一個活躍區域至少須要關聯源地址或接口
默認狀況下，public區域是默認區域，包含全部接口（網卡）

Firewalld數據處理流程

檢查數據來源的源地址
若源地址關聯到特定的區域，則執行該區域所指定的規則
若源地址未關聯到特定的區域，則使用傳入網絡接口的區域並執行該區域所指定的規則
若網絡接口未關聯到特定的區域，則使用默認區域並執行該區域所指定的規則

Firewalld防火牆的配置方法

運行時配置

實時生效，並持續至Firewalld從新啓動或從新加載配置
不中斷現有鏈接
不能修改服務配置

永久配置

不當即生效，除非Firewalld從新啓動或從新加載配置
終端現有鏈接
能夠修改服務配置

Firewall-config圖形工具

運行時配置/永久配置
從新加載防火牆
更改永久配置並生效（關聯網卡到指定區域）
修改默認區域
鏈接狀態

區域選項卡內容
1.「服務」 子選項卡
2.「端口」子選項卡
3.「協議」子選項卡
4.「源端口」子選項卡
5.「假裝」子選項卡
6.「端口轉發」子選項卡
7.「ICMP過濾器」子選項卡

服務選項卡
1.「模塊」子選項卡
2.「目標地址」子選項卡

Firewalld防火牆案例

需求描述：
禁止主機ping服務器
只容許192.168.131.129主機訪問SSH服務
容許全部主機訪問Apache服務
在終端使用命令：firewall-config 進入firewall的圖形化界面

只容許192.168.131.129訪問SSH服務的設置
在區域的選項卡中選擇work，再選擇子選項卡「來源」，在其中添加容許訪問SSH服務主機的IP地址192.168.131.129
在區域的選項卡中選擇work，勾選ssh與dhcp並去除dhcpv6-clicent，以後再public（公共區域）中去除ssh選項

容許全部主機訪問Apache服務配置
在區域的選項卡中選擇public（公共區域），勾選dhcp並去除dhcpv6-clicent

禁止主機ping服務器配置
在work的ICMP過濾器選項中勾選echo-request
在public（公共區域）的ICMP過濾器選項中勾選echo-reply