firewalld防火牆概述及字符管理工具

內容要點：

• firewalld概述

• firewalld和iptables的關係

• firewalld網絡區域

• firewalld防火牆的配置方法

• firewalld-config圖形工具

1、firewalld概述

firewalld簡介：

• 支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具

• 支持IPv四、IPv6防火牆設置以及以太網橋

• 支持服務或應用程序直接添加防火牆規則接口

• 擁有兩種配置模式

• 運行時配置（重啓後則設置再也不生效）

• 永久配置（聲明於配置文件中）

2、Firewalld和iptables的關係

 netfilter

• 位於Linux內核中的包過濾功能體系

• 稱爲Linux防火牆的「內核態」

Firewalld/iptables

• CentOS7默認的管理防火牆規則的工具(Firewalld)

• 稱爲Linux防火牆的「用戶態」

3、網絡區域

區域介紹（默認區域爲public）

區域如同進入主機的安全門，每一個區域都具備不一樣限制程度的規則

能夠使用一個或多個區域,可是任何一一個活躍區域至少須要關聯源地址或接口

默認狀況下，public區 域是默認區域，包含全部接口(網卡)

firewalld數據處理流程

• 檢查數據來源的源地址

• 若源地址關聯到特定的區域，則執行該區域所指定的規則

• 若源地址未關聯到特定的區域，則使用傳入網絡接口的區域並執行該區域所指定的規則

• 若網絡接口未關聯到特定的區域，則使用默認區域並執行該區域所指定的規則

4、firewalld防火牆的配置方法

運行時配置

• 實時生效，並持續至Firewalld從新啓動或從新加載配置

• 不中斷現有鏈接

• 不能修改服務配置

永久配置

• 不當即生效，除非Firewalld從新啓動或從新加載配置

• 中斷現有鏈接

• 能夠修改服務配置

firewall-config圖形工具

• 運行時配置/永久配置

• 從新加載防火牆

• 更改永久配置並生效 

• 關聯網卡到指定區域

• 修改默認區域

• 鏈接狀態

  
  

firewall-cmd命令行工具

一、啓動、中止、查看firewalld服務

在安裝Cent0S7 系統時，會自動安裝firewalld 和圖形化工具firewall-config。 執行如下命令能夠啓動firewalld 並設置爲開機自啓動狀態。

[root@localhost ~]# systemctl start firewalld //啓動firemal1d
[root@localhost ~]# systemctl enable firewalld //設置firewalld爲開機自啓動
若是firewalld正在運行，經過systemctl status firewalld 或firewall-cmd 命令能夠查看其運行狀態。
[root@localhost ~]# systemctl status firewalld
[root@1ocalhost ~]# systemct1 stop firewalld //中止firewal1d
[root@localhost ~]# systemct1 disable firewalld //設置firewalld開機不自啓動

二、獲取預約義信息

firewall-cmd預約義信息主要包括三種:可用的區域、可用的服務以及可用的ICMP阻塞類型，具體的查看命令以下所示。

[root@localhost ~]# firewall-cmd --get-zones //顯示預約義的區域
work drop internal external trusted home dmz public block
[root@localhost ~]# firewall-cmd - get service //顯示預約義的服務
RH- Sate1ite-6 amanda-client amanda -k5-client bacul abacula-client cephcephmondhcp dhcpv6 dhcpv6-client dnsdocker- registrx dropbox-lansyncfreeipa-1dap
.......
[root@localhost ~]# firewall-cmd --get-icmptypes //顯示預約義的ICMP 類型
destinatian-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solici tati on source- quench time-exceeded timest amp- reply timestamp-request

firewall-cmd --get-icmptypes命令的執行結果中各類阻塞類型的含義分別以下所示。

destination-unreachable:目的地址不可達。
echo-reply: 應答迴應(pong) 。
parameter-problem:參數問題。
redirect: 從新定向。
router- advertisement：路由器通告。
router- solicitation：路由器徵尋。
source-quench：源端抑制。
time-exceeded:：超時。
timestamp-reply:：時間戳應答迴應。
timestamp-request：時間戳請求。

三、區域管理

四、firewalld端口操做命令

五、firewalld阻塞ICMP操做命令

六、兩種配置模式

--reload: 從新加載防火牆規則並保持狀態信息，即將永久配置應用爲運行時配置。
--permanent:：帶有此選項的命令用於設置永久性規則，這些規則只有在從新啓動firewalld或從新加載防火牆規則時纔會生效;若不帶有此選項，表示用於設置運行時規則。
--runtime-to-permanent：將當前的運行時配置寫入規則配置文件中，使之成爲永久性

/etc/firewalld/中的配置文件

• Firewalld會優先使用/etc/firewalld/中的配置,若是不存在配置文件。

• /etc/firewalld/ ：用戶自定義配置文件,須要時可經過從usr/lib/firewalld/中拷貝

• /usr/lib/firewalld/:默認配置文件，不建議修改，若恢復至默認配置，可直接刪除/etcfirewalld/中的配置