您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

Linux系统安全Centos 7的Firewalld防火墙基础

时间:2019-11-28 13:09:15  来源:  作者:

一、linux防火墙的基础

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。

netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系;

firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系;

Linux系统安全Centos 7的Firewalld防火墙基础

 

1、firewalld概述

firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:

运行配置

永久配置
还支持服务或应用程序直接添加防火墙规则接口。

2、firewalld网络区域

firewalld将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。

对于进入系统的数据包,首先检查的就是其源地址:

若源地址关联到特定的区域,则执行该区域所制定的规则;若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则;若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则;

默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是public,但是也可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld的每个预定义的区域都设置了默认打开的服务。

3、firewalld预定义区域说明

trusted(信任区域):可接收所有的网络连接;public:(公共区域):除非与传出流量相关,或与ssh或dhcpv6-client预定义服务匹配,否则拒绝流量传入;work(工作区域):除非与传出流量相关,或与ssh、ipp-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于工作区;home(家庭区域):除非与传出流量相关,或与ssh、ipp-client、mDNS、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于家庭网络;internal(内部区域):除非与传出流量相关,或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于内部网络;external(外部区域):除非与传出流量相关,或与ssh预定义服务匹配,否则拒绝流量传入;dmz(隔离区域也称为非军事化区域):除非和传出的流量相关 ,或与ssh预定义服务匹配,否则拒绝流量传入;blocak(限制区域):除非与传出流量相关,否则拒绝所有传入流量;drop(丢弃区域):除非与传出流量相关,否则丢弃所有传入流量,并且不产生包含ICMP的错误响应;

二、firewalld防火墙的配置方法

centos 7系统中,可以使用三种方式配置firewalld防火墙:

firewalld-config图形化工具;

firewalld-cmd命令行工具;

/etc/firewalld/中的配置文件;

一般情况下,不建议直接编辑配置文件;

1、firewalld-cmd的基础命令

[root@centos01 ~]# systemctl start firewalld <!--启动firewalld-->
[root@centos01 ~]# systemctl enable firewalld<!--设置开机自动启动firewalld-->
[root@centos01 ~]# systemctl status firewalld <!--查看防火墙运行状态-->
[root@localhost ~]# firewall-cmd --state <!--查看防火墙允许状态-->
running
[root@centos01 ~]# systemctl stop firewalld<!--停止firewalld-->
[root@centos01 ~]# systemctl disable firewalld<!--设置开机不自动启动firewalld-->
[root@centos01 ~]# firewall-cmd --get-zones <!--查看防火墙预定义的区域-->
[root@centos01 ~]# firewall-cmd --get-service <!--查看防火墙支持的预定义服务类型-->
[root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系统的默认区域 -->
[root@localhost /]# firewall-cmd --reload <!--重载防火墙-->
[root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的区域-->

[root@centos01 ~]# firewall-cmd --get-icmptypes <!--显示预定义的ICMP类型-->
address-unreachable bad-header communication-prohibited destination-unreachable 
echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited
host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement
neighbour-solicitation network-prohibited network-redirect network-unknown 
network-unreachable no-route packet-too-big parameter-problem port-unreachable
precedence-cutoff protocol-unreachable redirect required-option-missing
router-advertisement router-solicitation source-quench source-route-failed time-exceeded
timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable 
tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly 
ttl-zero-during-transit unknown-header-type unknown-option

firewall-cmd --get-icmptypes命令执行结果中部分阻塞类型的含义如下:

destination-unreachable:目的地址不可达;echo-reply:应答回应;parameter-problem:参数问题;redirect:重新定向;router-advertisement:路由器通告;router-solicitation:路由器征寻;source-quench:源端抑制;time-exceeded:超时;timestamp-reply:时间戳应答回应;timestamp-request:时间戳请求;

2、firewalld区域管理选项

--get-default-zone:显示网络连接或接口的默认区域;--set-default-zone=<zone>:设置网络连接或接口的默认区域;--get-active-zones:显示已激活的所有区域;--get-zone-of-interface=<interface>:显示指定接口绑定的区域;--zone=<zone> --add-interface=<interface>:为指定接口绑定的区域;--zone=<zone> --change-interface=<interface>:为指定的区域更改绑定的网络接口;--zone=<zone> --remove-interface=<interface>:为指定的区域删除绑定的网络接口;--list-all=zones:显示所有区域及其规则;[--zone=<zone>] --list-all:显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作;

区域管理示例如下:

[root@centos01 ~]# firewall-cmd --get-default-zone <!--显示当前系统中的默认区域-->
[root@centos01 ~]# firewall-cmd --list-all<!--显示默认区域的所有规则-->
[root@centos01 ~]# firewall-cmd --get-zone-of-interface=ens32 <!--查看ens32接口所在的区域-->
internal
[root@centos01 ~]# firewall-cmd --zone=internal --change-interface=ens32 <!--修改ens32接口对应的区域更改到internal区域-->
 The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-interface <!--查看internal区域的接口列表-->
ens32
[root@centos01 ~]# firewall-cmd --get-active-zones <!--显示所有激活区域-->
internal
 interfaces: ens32

3、firewalld服务管理

为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。我们需要将service配置文件放置在/etc/firewalld/services/目录中。service配置具有以下优点:

通过服务名字来管理规则更加人性化;
通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式;

1)firewalld-cmd命令区域中服务管理的常用选项说明:

[--zone=<zone>] --list-services:显示指定区域内允许访问的所有服务;

[--zone=<zone>] --add-service=<service>:为指定区域设置允许访问的某项服务;

[--zone=<zone>] --remove-service=<service>:删除指定区域已设置的允许访问的某项服务;

[--zone=<zone>] --list-ports:显示指定区域内允许访问的所有端口号;

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>:为指定区域设置允许访问的某个/某段端口号(包括协议号);

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocl>:删除指定区域已设置的允许访问的端口号(包括协议名);

[--zone=<zone>] --list-icmp-blocaks:显示指定区域内拒绝访问的所有ICMP类型;

[--zone=<zone>] --add-icmp-block=<icmptype>:为指定区域设置拒绝访问的某项ICMP类型;

[--zone=<zone>] --remove-icmp-block=<icmptype>:删除指定区域已设置的拒绝访问的某项ICMP类型,省略--zone=<zone>时表示对默认区域操作;

2)firewalld服务管理示例如下(为默认区域设置允许访问的服务):

 [root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->
dhcpv6-client ssh 
[root@centos01 ~]# firewall-cmd --add-service=http <!--设置默认区域允许访问http服务-->
success
[root@centos01 ~]# firewall-cmd --add-service=https <!--设置默认区域允许访问https服务-->
success
[root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->

dhcpv6-client ssh https http

3)firewalld服务管理示例如下(为internal区域设置允许访问的服务):

[root@centos01 ~]# firewall-cmd --zone=internal --add-service=MySQL 
 <!--设置internal区域允许访问mysql服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --remove-service=samba-client 
 <!--设置internal区域不允许访问Samba-client服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-services 
 <!--显示internal区域内允许访问的所有服务-->
ssh mdns dhcpv6-client mysql

4、端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在internal区域打开443/TCP端口。示例如下:

 [root@centos01 ~]# firewall-cmd --zone=internal --add-port=443/tcp
 <!--在internal区域打开443/tcp端口-->
success

若想实现在internal区域禁止443/TCP端口访问,可执行以下命令:

 [root@centos01 ~]# firewall-cmd --zone=internal --remove-port=443/tcp
 <!--在internal区域禁止443/tcp端口访问-->
success

以上配置都为临时配置,若想将当前配置保存为永久配置,可以使用下面命令:

 [root@centos01 ~]# firewall-cmd --runtime-to-permanent
success

直接配置为永久性规则,须带--permanent选项,如下:

[root@centos01 ~]# firewall-cmd --add-icmp-block=echo-request --permanent <!--禁止ping-->

success
[root@centos01 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent 
 <!--配置external区域禁止ping-->
success

三、firewalld两种配置模式

前面提到firewall-cmd命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个:

--reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置;

--permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动或重新加载防火墙规则时才会生效;若不带此项,表示用于设置运行时规则;

--runtime-to-permanent:将当前运行时的配置写入规则配置文件中,使当前内存中的规则称为永久性配置;



Tags:Firewalld   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
如果你运行的服务器有面向公众的 SSH 访问,你可能遇到过恶意登录尝试。本文介绍了如何使用两个实用程序来防止入侵者进入我们的系统。&bull; 来源:linux.cn &bull; 作者:Hobbe...【详细内容】
2020-07-15  Tags: Firewalld  点击:(40)  评论:(0)  加入收藏
iptables是Linux内核自带的防火墙,功能强大,但是因为其配置比较复杂,往往会让新手望而生畏。想当年,我在学习iptbles的时候就花费了不少精力,全凭自己零碎地摸索积累,着实走了不少...【详细内容】
2020-06-16  Tags: Firewalld  点击:(140)  评论:(0)  加入收藏
FirewallD 是由红帽发起的提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具。 作者:王震华, 朱丽璇FirewallD 是由红帽发起的提供了支持网络/防...【详细内容】
2020-05-22  Tags: Firewalld  点击:(66)  评论:(0)  加入收藏
centos的防火墙iptables很强大,但是centos7的防火墙升级为Firewalld,命令也是大不一样。但是iptables并未被替换,而作为Firewalld的底层存在着。防火墙无论是在windows还是在li...【详细内容】
2020-05-07  Tags: Firewalld  点击:(83)  评论:(0)  加入收藏
Firewalld服务简介▶1 基本介绍firewalld是CentOS 7.0新推出的管理netfilter的工具firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的...【详细内容】
2019-12-26  Tags: Firewalld  点击:(87)  评论:(0)  加入收藏
一、Linux防火墙的基础Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:f...【详细内容】
2019-11-28  Tags: Firewalld  点击:(107)  评论:(0)  加入收藏
1. 前言本文将会详细介绍CentOS 7 firewalld的来由、功能、常用命令、常用的案例及使用方法。希望能帮助读者全面了解firewalld,并能正确配置和使用它。 centos7 firewalld2....【详细内容】
2019-09-16  Tags: Firewalld  点击:(180)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条