前言
centos7默认的防火墙是 firewall,替代了以前的 iptables。
firewall 使用更加方便、功能也更加强大一些。
firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
firewalld防火墙
Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。
相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。借助带防火墙的D-Bus接口,服务,应用程序以及用户都可以轻松调整防火墙设置。该接口已完成,用于防火墙配置工具firewall-cmd,firewall-config和firewall-applet。
firewalld指定区域
| 区域 | 作用 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量。 |
| public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。 |
| external(外部区域) | 允许与ssh预定义服务匹配的传入流量其余均拒绝。 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。 |
| internal(内部区域) | 默认值与home区域相同。 |
| work(工作区域) | 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝 |
| dmz(隔离区域也称非军事区域) | 允许与ssh预定义服务匹配的传入流量,其他均拒绝。 |
| block(限制区域) | 拒绝所有传入流量。 |
| drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含icmp的错误响应。 |
在传统的iptables基于规则的顺序的匹配先后顺序来多数据包进行处理,处理的动作基本上非黑即白这个逻辑,因此iptables的基于规则列表的运行机制相对固化,缺少灵活性。而firewalld将传入的流量分类到由源IP和/或网络接口定义的区域中。每个区域都有的配置,可以根据指定的标准接受或拒绝数据包。
firewalld数据流向
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)。
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域 并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该 区域所指定的规则
iptables和firewalld的区别
firewalld 与 iptables 都是 linux 中防火墙的管理程序,但其实其角色主要为对于防火墙策略的管理,真正的防火墙执行者是位于内核中的netfilter
| firewalld | iptables | |
|---|---|---|
| 配置文件 | /uer/lib/firewalld/和/etc/firewald/ | /etc/sysconfig/iptables/ |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要重新刷新策略,丢失链接 |
| 防火墙类型 | 动态防火墙 | 静态防火墙 |
| 不同点: |
- iptables 仅能通过命令行进行配置;而 firewalld 提供了图形接口,类似windows防火墙的操作方式
- iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接
- iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中
- iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程
- iptables 通过控制端口来控制服务,而 firewalld 则是通过控制协议来控制端口
区别
- firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效;
- firewalld使用区域和服务而不是链式规则;
- firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制;
- firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。也就是说,firewalld和iptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样!
firewalld是iptables的一个封装,可以让你更容易地管理iptables规则。它并不是iptables的替代品,虽然iptables命令仍可用于firewalld,但建议firewalld时仅使用firewalld命令。
firewalld配置方法
命令管理与图形界面管理
firewall-config 图形化工具(生产环境一般只有字符界面,不使用这种方法)
firewall-cmd 命令行工具(生产环境中没有图形化界面,所以只能在命令行进行配置)
firewalld会优先使用/etc/firewalld/(用户自定义的配置)文件中的配置,如若不存在其配置文件,则使用/usr/lib/firewalld/(默认配置文件,修改后如若恢复默认配置,可直接删除/etc/firewalld/中的配置)中的配置
命令管理
常用命令大全
| 默认区域 | |
|---|---|
| --get-default-zone | 显示当前默认区域 |
| --set-default-zone= | 设置默认区域 |
| --get-active-zones | 显示当前正在使用的区域及其网卡接口 |
| --get-zones | 显示所有可用的区域 |
| 网络接口 | |
|---|---|
| --get-zone-of-interface=ens33 | 查看指定接口ens33绑定的区域 |
| --zone= --add-interface= | 为指定接口绑定区域 |
| --zone= --change-interface= | 为指定区域更改绑定的网络接口 |
| --zone= --remove-interface= | 为指定区域删除绑定的网络接口 |
| 源地址 | |
|---|---|
| --zone= --add-source=[/] | 为指定源地址绑定区域 |
| --zone= --change-source=[/] | 为指定的区域更改绑定的源地址 |
| --zone= --remove-source=[/] | 为指定的区域删除绑定的源地址 |
| icmp协议 | |
|---|---|
| --zone= --list-icmp-blocks | 显示指定区域内拒接访问的所有icmp类型 |
| --zone= --add-icmp-block= | 为指定区域设置允许访问的某项icmp类型 |
| --zone= --remove-icmp-block= | 删除指定区域已设置允许访问的某项icmp类型 |
| firealld-cmd --get-icmptypes | 显示所有icmp类型 |
| 服务端口管理 | |
|---|---|
| --zone= --list-service | 显示指定区域内允许访问的所有服务 |
| --zone= --add-service= | 为指定的区域设置允许访问的某项服务 |
| --zone= --remove-service= | 删除指定区域已设置的允许访问的某项服务 |
| --zone= --list-ports:x | 显示指定区域内允许访问的所有端口号 |
| --zone= --add-port=[-portid]/ | 为指定的区域设置允许访问的某个端口号/某段端口号(包括协议) |
| --zone= --remove-port=[-portid]/ | 删除指定区域已设置允许访问的端口号(包括协议) |
firewalld配置模式
运行时和永久配置的分离使得可以在运行时进行评估和测试。运行时配置仅在下一次重新加载和重新启动服务或重新引导系统之前才有效。然后,将再次加载永久配置。使用运行时环境,可以将运行时用于仅在有限时间内激活的设置。如果运行时配置已用于评估,并且已完成且可以正常运行,则可以将此配置保存到永久环境中。
iptables在/etc/sysconfig/iptables-config文件中存储配置。firewalld在/etc/firewalld/下存储XML配置文件。
临时配置
显示更改默认区域
增加(add)修改(change)删除(remove)指定网卡源地址
显示、添加、删除指定区域的某个服务;添加、删除某个协议端口
设置SNAT规则和DNAT规则
永久配置
永久配置不立即生效,需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失,永久存在。
firewall-cmd --add-service={service} --permanent
firewall-cmd --reload
添加使用 --permanent选项表示设置成永久生效,需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效
把运行时配置转换为永久配置
firewall-cmd --runtime-to-premanent
使用iptables时每一个规则的更改意味着要清除所有旧的规则,然后从/etc/sysconfig/iptables-config配置文件中读取所有新的规则并载入。然而使用firewalld可以临时的将新添加的规则载入使用,不会像iptables一样丢失连接。
