一、Firewalld概述
firewalld防火墙是Centos 7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙(过滤数据包)。
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规划功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
firewalld支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式:运行时(临时)配置与永久配置。
二、Firewalld和iptables的关系与区别
-
作用范围的区别
- iptables主要基于接口,来设置规则,从而判断网络的安全性。
- firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
-
配置文件的区别
- iptables在/etc/sysconfig/iptables中存储配置
- firewalld将配置储存在/etc/firewalld/(优先加载)和/usr/lib/firewalld/(默认的配置文件)中的各种XML文件中
-
读取修改规则的区别
- 使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables/里读取所有新的规则(即修改配置立即生效)
- 使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行事件内,改变设置而不丢失现行的连接。(即修改配置不会断开现有的数据连接)
-
防火墙类型的区别
- iptables防火墙类型为静态防火墙
- firewalld防火墙类型为动态防火墙
三、Firewalld网络区域
3.1 firewalld防火墙的区域概念
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应的区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
- 区域介绍
- 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
- 默认情况下,public区域是默认区域,包含所有接口
3.2 firewalld防火墙的区域划分
firewalld防火墙预定义了9个区域(只过滤传入流量)如下所示:
| 区域 | 作用 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量 |
| public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域 |
| external(外部区域) | 允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝 |
| internal(内部区域) | 默认值与home区域相同。 |
| work(工作区域) | 允许与ssh、dhcpv6-client预定义服务匹配的传入浏览,其余均拒绝 |
| dmz(隔离区域也成为非军事区域) | 允许与ssh预定义服务匹配的传入流量,其余均拒绝 |
| block(限制区域) | 拒绝所有传入流量 |
| drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含ICMP的错误响应 |
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会运行符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
firewalld防火墙的九大区域默认配置文件存放在/usr/lib/firewalld/目录下
默认情况下,public区域是默认区域(配置文件路径为/etc/firewalld/zones/piblic.xml),系统会优先加载该默认区域配置文件的规则,其中包含并关联所有接口(网卡)
3.3 firewalld数据处理流程
firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
3.4 firewalld检查数据包的源地址的规则
- 若源地址或接口绑定的区域有关联,则执行该区域所定制的规则。
- 若源地址没有关联到特定的区域,查看数据包的入站网卡是否关联某个特定区域,如有关联,则使用传入网络接口的区域并执行该区域所指定的规则
- 若网络接口未关联到特定的区域也没有关联到入站网卡区域,则使用当前默认区域规则进行过滤数据包
- firewalld检查数据包的匹配顺序
- 先看数据包的源地址是否关联某个特定区域,如果有关联则使用这个关联源地址的区域的规则进行过滤数据包
- 如果源地址没有关联某个特定区域,再看数据包入站网卡是否关联某个特定区域,如果有关联则使用这个关联网卡的区域的规则进行过滤数据包
- 如果既没有关联源地址的区域也没有关联入站网卡的区域,则使用当前默认区域的规则进行过滤数据包。
四、Firewalld防火墙的配置方法
4.1 firewalld的两种配置类型
运行时配置(即时生效)
- 实时生效,并持续至firewalld重新启动或重新加载配置
- 不中断现有连接
- 不能修改服务配置
永久配置(永久生效)
- 不立即生效,除非firewalld重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
4.2 Firewalld防火墙的配置方法
- 使用firewall-cmd命令行工具
- 使用firewall-config图形工具
- 编写/etc/firewalld中的配置文件
4.3 命令行设置
-
使用命令行设置配置firewalld防火墙服务时,记得先开启firewalld服务
systemctl start firewalld
命令:firewall-cmd
1. 查看配置规则
① 查看当前默认区域
firewall-cmd --get-default-zone
② 查看当前正在使用的区域与对应网卡接口
firewall-cmd --get-active-zones
③ 查看指定接口绑定的区域
firewall-cmd --get-zone-of-interface=<接口>
④ 查看所有区域内的规则
firewall-cmd --list-all-zones
⑤ 查看指定区域内的规则
firewall-cmd --list-all --zone=<区域>
⑥ 仅查看指定区域所放行的服务
firewall-cmd --list-services --zone=<区域>
⑦ 查看指定区域允许访问的端口号
firewall-cmd --list-ports --zone=<区域>
⑧ 查看默认区域内所有可以使用的ICMP类型
firewall-cmd --get-icmptypes
⑨ 查看指定区域拒绝访问的ICMP类型
firewall-cmd --list-icmp-blocks --zone=<区域>
⑩ 查看当前已激活的区域
firewall-cmd --get-active-zones
⑪ 查看默认区域内允许访问的服务
firewall-cmd --list-service
2. 添加/修改配置规则
① 修改默认配置区域
firewall-cmd --set-default-zone=work
#将默认区域更改为work
② 添加/修改指定区域网卡
firewall-cmd --add-interface=<接口> --zone=<区域>
#指定区域添加指定网卡
firewall-cmd --zone=<区域> --change-interface=<接口>
#与添加指定网卡功能类似,不能直接进行替换操作
③ 添加/修改指定区域源地址
firewall-cmd --zone=<区域> --add-source=<源地址>
#指定区域添加源地址,其中源地址可以是IP地址,也可以是<网段/子网掩码>
firewall-cmd --zone=<区域> --change-source=<源地址>
# 与添加指定源地址功能类似,不能直接进行替换操作,实际功能可以理解为,让特定源地址,修改指定的区域
④ 指定区域添加允许的服务
firewall-cmd --zone=<区域> --add-service=<服务名称>
⑤ 添加指定区域允许访问的端口号
firewall-cmd --add-port=<端口号>/<协议> --zone=<区域>
⑥ 添加指定区域拒绝访问的ICMP类型
firewall-cmd --add-icmp-block=echo-request --zone=<区域>
⑦ 添加指定区域允许访问的服务
firewall-cmd --add-service=<服务> --zone=<区域>
单次添加多个服务:
以上两种方法均可实现
3. 删除配置规则
① 删除指定区域源地址
firewall-cmd --zone=<区域> --remove-source=<源地址>
② 指定区域删除允许的服务
firewall-cmd --zone=<区域> --remove-service=<服务名称>
③ 指定区域删除指定端口
firewall-cmd --zone=<区域> --remove-port=<端口><协议>
PS:删除端口放行规则,必须按照设定端口的内容进行删除如下图所示
④ 删除指定区域已设置的拒绝访问的ICMP类型
firewall-cmd --remove-icmp-block=echo-request --zone=<区域>
⑤ 删除指定区域允许访问的服务
firewall-cmd --remove-service=<服务> --zone=<区域>
4.4 如何将临时配置转换成永久配置
在上述内容中,我们所有的操作都是临时配置区域规则,都属于临时性配置且设置完成后即时生效,再重启系统后,系统将会恢复默认配置,我们可以通过以下方法进行永久性配置的操作:
- 在命令行中添加使用--permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --load命令重新加载防火墙规则后才可以生效。若不带此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时立即失效。
4.5. 图形化设置
命令:firewall-config
