Linux的防火牆體系主要工做在網絡層,針對TCP/IP數據包實時過濾和限制,屬於典型的包過濾防火牆(或稱爲網絡層防火牆)。Linux系統的防火牆體系基於內核共存:firewalld、iptables、ebtables,默認使用firewalld來管理netfilter子系統。mysql
netfilter:指的是Linux內核中實現包過濾防火牆的內部結構,不以程序或文件的形式存在,屬於「內核態」的防火牆功能體系;sql
- firewalld:指用來管理Linux防禦牆的命令程序,屬於「用戶態」的防火牆管理體系;
firewalld的做用是爲包過濾機制提供匹配規則(或稱爲策略),經過各類不一樣的規則,告訴netfilter對來自指定源,前往指定目的或具備某些協議特徵的數據包採起何種處理方式。爲了更加方便地組織和管理防火牆,firewalld提供了支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具。支持IPv四、IPv6防火牆設置以及以太網橋,而且擁有兩種配置模式:centos
運行配置安全
- 永久配置
還支持服務或應用程序直接添加防火牆規則接口。
firewalld將全部的網絡數據流量劃分爲多個區域,從而簡化防火牆管理。根據數據包的源IP地址或傳入網絡接口等條件,將數據流量轉入相應區域的防火牆規則。網絡
對於進入系統的數據包,首先檢查的就是其源地址:ssh
- 若源地址關聯到特定的區域,則執行該區域所制定的規則;
- 若源地址未關聯到特定的區域,則使用傳入網絡接口的區域並執行該區域所制定的規則;
- 若網絡接口未關聯到特定的區域,則使用默認區域並執行該區域所制定的規則;
默認區域不是單獨的區域,而是指向系統上定義的某個其餘區域。默認狀況下,默認區域是public,可是也能夠更改默認區域。以上匹配規則,按照前後順序,第一個匹配的規則勝出。在每一個區域中均可以配置其要打開或者關閉的一系列服務或端口,firewalld的每一個預約義的區域都設置了默認打開的服務。tcp
- trusted(信任區域):可接收全部的網絡鏈接;
- public:(公共區域):除非與傳出流量相關,或與ssh或dhcpv6-client預約義服務匹配,不然拒絕流量傳入;
- work(工做區域):除非與傳出流量相關,或與ssh、ipp-client、dhcpv6-client預約義服務匹配,不然拒絕流量傳入,用於工做區;
- home(家庭區域):除非與傳出流量相關,或與ssh、ipp-client、mdns、samba-client、dhcpv6-client預約義服務匹配,不然拒絕流量傳入,用於家庭網絡;
- internal(內部區域):除非與傳出流量相關,或與ssh、ipp-client、mdns、samba-client、dhcpv6-client預約義服務匹配,不然拒絕流量傳入,用於內部網絡;
- external(外部區域):除非與傳出流量相關,或與ssh預約義服務匹配,不然拒絕流量傳入;
- dmz(隔離區域也稱爲非軍事化區域):除非和傳出的流量相關 ,或與ssh預約義服務匹配,不然拒絕流量傳入;
- blocak(限制區域):除非與傳出流量相關,不然拒絕全部傳入流量;
- drop(丟棄區域):除非與傳出流量相關,不然丟棄全部傳入流量,而且不產生包含ICMP的錯誤響應;
在Centos 7系統中,可使用三種方式配置firewalld防火牆:ide
firewalld-config圖形化工具;工具
firewalld-cmd命令行工具;ui
- /etc/firewalld/中的配置文件;
通常狀況下,不建議直接編輯配置文件;
[root@centos01 ~]# systemctl start firewalld <!--啓動firewalld--> [root@centos01 ~]# systemctl enable firewalld<!--設置開機自動啓動firewalld--> [root@centos01 ~]# systemctl status firewalld <!--查看防火牆運行狀態--> [root@localhost ~]# firewall-cmd --state <!--查看防火牆容許狀態--> running [root@centos01 ~]# systemctl stop firewalld<!--中止firewalld--> [root@centos01 ~]# systemctl disable firewalld<!--設置開機不自動啓動firewalld--> [root@centos01 ~]# firewall-cmd --get-zones <!--查看防火牆預約義的區域--> [root@centos01 ~]# firewall-cmd --get-service <!--查看防火牆支持的預約義服務類型--> [root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系統的默認區域 --> [root@localhost /]# firewall-cmd --reload <!--重載防火牆--> [root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的區域--> [root@centos01 ~]# firewall-cmd --get-icmptypes <!--顯示預約義的ICMP類型--> address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
firewall-cmd --get-icmptypes命令執行結果中部分阻塞類型的含義以下:
- destination-unreachable:目的地址不可達;
- echo-reply:應答迴應;
- parameter-problem:參數問題;
- redirect:從新定向;
- router-advertisement:路由器通告;
- router-solicitation:路由器徵尋;
- source-quench:源端抑制;
- time-exceeded:超時;
- timestamp-reply:時間戳應答迴應;
- timestamp-request:時間戳請求;
- --get-default-zone:顯示網絡鏈接或接口的默認區域;
- --set-default-zone=<zone>:設置網絡鏈接或接口的默認區域;
- --get-active-zones:顯示已激活的全部區域;
- --get-zone-of-interface=<interface>:顯示指定接口綁定的區域;
- --zone=<zone> --add-interface=<interface>:爲指定接口綁定的區域;
- --zone=<zone> --change-interface=<interface>:爲指定的區域更改綁定的網絡接口;
- --zone=<zone> --remove-interface=<interface>:爲指定的區域刪除綁定的網絡接口;
- --list-all=zones:顯示全部區域及其規則;
- [--zone=<zone>] --list-all:顯示全部指定區域的全部規則,省略--zone=<zone>時表示僅對默認區域操做;
區域管理示例以下:
[root@centos01 ~]# firewall-cmd --get-default-zone <!--顯示當前系統中的默認區域--> [root@centos01 ~]# firewall-cmd --list-all<!--顯示默認區域的全部規則--> [root@centos01 ~]# firewall-cmd --get-zone-of-interface=ens32 <!--查看ens32接口所在的區域--> internal [root@centos01 ~]# firewall-cmd --zone=internal --change-interface=ens32 <!--修改ens32接口對應的區域更改到internal區域--> The interface is under control of NetworkManager, setting zone to 'internal'. success [root@centos01 ~]# firewall-cmd --zone=internal --list-interface <!--查看internal區域的接口列表--> ens32 [root@centos01 ~]# firewall-cmd --get-active-zones <!--顯示全部激活區域--> internal interfaces: ens32
爲了方便管理,firewalld預先定義了不少服務,存放在/usr/lib/firewalld/services/目錄中,服務經過單個的XML配置文件來指定。這些配置文件則按如下格式命名:service-name.xml,每一個文件對應一項具體的網絡服務,如ssh服務等。咱們須要將service配置文件放置在/etc/firewalld/services/目錄中。service配置具備如下優勢:
- 經過服務名字來管理規則更加人性化;
經過服務來組織端口分組的模式更加高效,若是一個服務使用了若干個網絡端口,則服務的配置文件就至關於提供了到這些端口的規則管理的批量操做快捷方式;
[--zone=<zone>] --list-services:顯示指定區域內容許訪問的全部服務;
[--zone=<zone>] --add-service=<service>:爲指定區域設置容許訪問的某項服務;
[--zone=<zone>] --remove-service=<service>:刪除指定區域已設置的容許訪問的某項服務;
[--zone=<zone>] --list-ports:顯示指定區域內容許訪問的全部端口號;
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>:爲指定區域設置容許訪問的某個/某段端口號(包括協議號);
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocl>:刪除指定區域已設置的容許訪問的端口號(包括協議名);
[--zone=<zone>] --list-icmp-blocaks:顯示指定區域內拒絕訪問的全部ICMP類型;
[--zone=<zone>] --add-icmp-block=<icmptype>:爲指定區域設置拒絕訪問的某項ICMP類型;
- [--zone=<zone>] --remove-icmp-block=<icmptype>:刪除指定區域已設置的拒絕訪問的某項ICMP類型,省略--zone=<zone>時表示對默認區域操做;
[root@centos01 ~]# firewall-cmd --list-services <!--顯示默認區域內容許訪問的全部服務--> dhcpv6-client ssh [root@centos01 ~]# firewall-cmd --add-service=http <!--設置默認區域容許訪問http服務--> success [root@centos01 ~]# firewall-cmd --add-service=https <!--設置默認區域容許訪問https服務--> success [root@centos01 ~]# firewall-cmd --list-services <!--顯示默認區域內容許訪問的全部服務--> dhcpv6-client ssh https http
[root@centos01 ~]# firewall-cmd --zone=internal --add-service=mysql <!--設置internal區域容許訪問mysql服務--> success [root@centos01 ~]# firewall-cmd --zone=internal --remove-service=samba-client <!--設置internal區域不容許訪問Samba-client服務--> success [root@centos01 ~]# firewall-cmd --zone=internal --list-services <!--顯示internal區域內容許訪問的全部服務--> ssh mdns dhcpv6-client mysql
在進行服務配置時,預約義的網絡服務可使用服務名配置,服務所涉及的端口就會自動打開。可是,對於非預約義的服務只能手動爲指定的區域添加端口。例如,執行如下操做便可實如今internal區域打開443/TCP端口。示例以下:
[root@centos01 ~]# firewall-cmd --zone=internal --add-port=443/tcp <!--在internal區域打開443/tcp端口--> success
若想實如今internal區域禁止443/TCP端口訪問,可執行如下命令:
[root@centos01 ~]# firewall-cmd --zone=internal --remove-port=443/tcp <!--在internal區域禁止443/tcp端口訪問--> success
以上配置都爲臨時配置,若想將當前配置保存爲永久配置,可使用下面命令:
[root@centos01 ~]# firewall-cmd --runtime-to-permanent success
直接配置爲永久性規則,須帶--permanent選項,以下:
[root@centos01 ~]# firewall-cmd --add-icmp-block=echo-request --permanent <!--禁止ping--> success [root@centos01 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent <!--配置external區域禁止ping--> success
前面提到firewall-cmd命令工具備兩種配置模式:運行時模式(Runtime mode)表示當前內存中運行的防火牆配置,在系統或firewalld服務重啓、中止時配置將失效;永久模式(Permanent mode)表示重啓防火牆或從新加載防火牆時的規則配置,是永久存儲在配置文件中的。
firewall-cmd命令工具與配置模式相關的選項有三個:
--reload:從新加載防火牆規則並保持狀態信息,即將永久配置應用爲運行時配置;
--permanent:帶有此選項的命令用於設置永久性規則,這些規則只有在從新啓動或從新加載防火牆規則時纔會生效;若不帶此項,表示用於設置運行時規則;
- --runtime-to-permanent:將當前運行時的配置寫入規則配置文件中,使當前內存中的規則稱爲永久性配置;
—————— 本文至此結束,感謝閱讀 ——————