Fiewalld防火牆基礎（一）

Fiewalld防火牆基礎

1.Fiewalld概述

2.Fiewalld和iptables的關係

3.Fiewalld網絡區域

4.Fiewalld防火牆的配置方法

5.Fiewalld-config圖形工具

6.Fiewalld防火牆案例

Fiewalld概述

Fiewalld簡介

1.支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具

2.支持IPv四、IPv6防火牆設置以及以太網橋

3.支持服務或應用程序直接添加防火牆規則接口

4.擁有兩種配置模式：運行時配置、永久配置

基於端口、協議、

Fiewalld和iptables的關係

netfilter：

1.位於Linux內核中的包過濾功能體系

2.稱爲Linux防火牆的「內核態」

Fiewalld/iptables：

1.CentOS7默認管理防火牆規則的工具（Fiewalld）

2.稱爲Linux防火牆的「用戶態」

Fiewalld和iptables的區別：

	Fiewalld	iptables
配置文件	/usr/lib/firewalld/或/etc/firewalld/	/etc/sysconfig/iptables
對規則的修改	不須要所有刷新策略，不丟失現行鏈接	須要所有刷新策略，丟失鏈接
防火牆類型	動態防火牆（靈活）	靜態防火牆

Fiewalld網絡區域

區域介紹：

區域	描述
drop（丟棄）	任何接收的網絡數據包都被丟棄，沒有任何回覆。僅能有發送出去的網絡鏈接
block（限制）	任何接收的網絡鏈接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕
public（公共）	在公共區域內使用，不能相信網絡內的其餘計算機不會對您的計算機形成危害，只能接收通過選取的鏈接
external（外部）	特別是爲路由器啓用了假裝功能的外部網。您不能信任來自網絡的其餘計算，不能相信他們不會對您的計算機形成危害，只能接收通過選擇的鏈接
dmz（非軍事區）	用於您的非軍事區內的電腦，此區域內可公開訪問，能夠有限的進入您的內部網絡，僅僅接收通過選擇的鏈接
work（工做）	用於工做區域。您能夠基本相信網絡內的其餘電腦不會危害您的電腦。僅僅接收通過選擇的鏈接
home（家庭）	用於家庭網絡。您能夠基本相信網絡內的其餘計算機不會危害您的計算機。僅僅接收通過選擇的鏈接
internal（內部）	用於內部網絡。您能夠基本上信任網絡內的其餘計算機不會威脅您的計算機。僅僅接受通過選擇的鏈接
trusted（信任）	可接受全部的網絡鏈接

PAT優勢：安全、節約了IP地址的資源

iptables：

1.SNAT（原地址轉換）

2.DNAT（目標地址轉換）

區域介紹1：

1.區域如同進入主機的安全門，每一個區域都具備不一樣限制程度的規則

2.可使用一個或多個區域，可是任何一個活躍區域至少須要關聯原地址或接口

3.默認狀況下，public區域是默認區域，包含全部接口（網卡）

Firewalld數據處理流程：

檢查數據來源地址：

1.若源地址關聯到特定的區域，則執行該區域所制定的規則

2.若源地址未關聯到特定區域，則使用傳入網絡接口的區域並執行該區域所制定的規則

3.若網絡接口未關聯到特定的區域，則使用默認區域所指定的規則

Firewalld防火牆的配置方法

運行時配置：

1.實時生效，並持續至Firewalld從新啓動或從新加載配置

2.不中斷現有連接

3.不能修改服務配置

永久配置：

1.不當即生效，除非Firewalld從新啓動或從新加載配置

2.終端現有鏈接

3.能夠修改服務配置

Firewalld-config圖形工具

Firewalld-cmd命令工具

/etc/firewalld/中的配置文件：

1.Firewalld會優先使用/etc/firewalld/中的配置，若是不存在配置文件時可經過從/usr/lib/firewalld/中拷貝

2./usrlib/firwalld/：默認配置文件，不建議修改，若恢復至默認配置，可直接刪除/etc/firewalld/中的配置

Firewall-config圖形工具：

1.運行時配置/永久配置

2.從新加載防火牆

3.關聯網卡到指定區域

4.修改默認區域

5.鏈接狀態

6.「區域」選項卡：

服務、端口、協議、源端口、假裝、端口轉發、ICMO過濾器

7.「服務」選項卡：

模塊、目標地址