Linux系统防火墙----Firewalld基础知识
一、Firewalld简介
Firewalld是Centos7的默认防火墙规则管理工具,其拥有两种配置模式:运行时配置和永久配置。通过将端口放在不同的区域里来实现,对来访的计算机进行管理。防火墙的机制是:允许高安全区可以访问地安全区,但是低安全区不可以访问高安全区,其使用100~0进去安全等级划分,一般情况下内网的安全等级为100,外网的安全等级为0,所以外网要想访问内网就需要建立一个安全等级在中间的军事化区(安全等级为50),防火墙可以设置协议让安全等级为0的外网计算机访问到军事化区域,内网也可以访问军事化区这样就可以实现互通。图1.1
在Firewalld中,运行是配置是实施生效的,但是配置是储存在系统的缓存中,如果这是重启防火墙或者重新加载那么配置就会失效。而永久配置顾名思义,通过修改配置文件之后重新加载或者重新启动那么修改的服务就会永久生效。所以如果有非常紧急的需求那么就要修改运行时配置,在现实的生产环境中只有在晚上服务器维护时才能够修改永久配置。图1.2
图1.1
图1.2
二、Firewalld区域
Firewalld存在许多区域,在配置时只需要将端口放在相应的区域里进行配置就可以了。如上文中提到的非军事区,public区域是默认的外部计算机访问的区域。图2.1
图2.1
三、Firewalld图形化界面设置
打开图形化界面需要输入Firewalld-config命令。具体的图形化界面如图3.1 一般情况下服务器开启了httpd服务外网计算机想要访问到界面需要服务端关闭防火墙,但此时需要要关闭防火墙只需要将相应的服务加入到配置中就可以正常访问到界面。图3.2我们也可以更改允许的服务将ICMP禁止这样就ping不同目标计算机了。图3.3
图3.1 图形化界面修改防火墙配置
图3.2 修改服务
图3.3
四、字符界面修改Firewalld设置
字符界面修改防火墙配置是一个非常高效的手段。只需要掌握基本的语法格式就可以随心所欲的修改防火墙配置。
1.防火墙的进程操作
开启:systemctl start firewalld
重启:systemctl restart firewalld
关闭:systemctl stop firewalld
状态:systemctl status firewalld
2.防火墙重载配置
Firewalld-cmd --reload
图4.1 重载防火墙
3.防火墙区域配置
-
查看与定义区域有哪些:firewall-cmd --get-zones图4.2可以查看有哪些区域。
图4.2 -
查看接口的默认区域:firewall-cmd --get-default-zone图4.3
图4.3 -
显示已经激活的区域和端口绑定的区域:firewall-cmd --get-active-zones和firewall-cmd --get-zone-of-interface=ens33图4.4
图4.4 -
查看区域内允许访问的服务:firewall-cmd --zone=区域 --list-services
设置某区域允许访问的服务:firewall-cmd --zone=区域 --add-service=服务
删除某区域中的某服务:firewall-cmd --zone=区域 --remove-srevice=服务
查询某区域是否开启了某服务:firewall-cmd -zone=区域 --query-service=服务
图4.5 -
查看某区域内允许访问的所有端口号:firewall-cmd --zone=区域 --list-sport
启用某区域某端口的某协议:firewall-cmd --zone=区域 --add-port=端口号/协议 --timeout=5m
禁用某区域某端口的协议:firewall-cmd --zone=区域 --remove-port=端口号/协议
查看某区域中是否开启了某端口和协议:firewall-cmd --zone=区域 --query-port=端口号/协议
图4.6
-
显示work区域内所阻塞的所有ICMP:firewall-cmd --zone=work --list-icmp-block
为work区域设置阻塞类型为echo-reply的ICMP:firewall-cmd --zone=work --add-icmp-block=echo-reply
删除work区域以阻塞的echo-reply的ICMP:firewall-cmd --zone=work --remove-icmp-block=echo-reply
查询work区域echo-request类型ICMP是否阻塞:firewall-cmd --zone=work --query-icmp-block=echo-request
图4.7
-
设置接口默认的区域:firewall-cmd --set-default-zone=区域
查看已激活的所有区域:firewall-cmd --get-active-zones
为ens33接口绑定work区域:firewall-cmd --zone=work --add-interface-ens33
为work区域删除绑定的nes33接口:firewall-cmd --zone=work --remove-interface-ens33
五、总结
防火墙(friewalld)这里的字符界面修改配置命令非常多,但是只要找到规律其实是非常好记的。一般的,指明一个区域:–zone=区域名。;查看:–get;添加:–add;移除:–remove;查询:–query;永久性修改:–permanent;设置:–set等等,一系列通过组合而成。虽然图形化界面非常的直观,但是字符界面修改是一种非常高效的手段。只有经常练习才能熟练掌握命令。
来源:CSDN
作者:QwQNightmare
链接:https://blog.csdn.net/QwQNightmare/article/details/103463106