溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Firewalld防火墻基礎(chǔ)

發(fā)布時(shí)間:2020-06-07 21:18:14 來源:網(wǎng)絡(luò) 閱讀:363 作者:wx5d2c2cbaaf223 欄目:系統(tǒng)運(yùn)維

Firewalld防火墻基礎(chǔ)``

Firewalld概述

Firewalld簡(jiǎn)介

支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具

支持IPv4、IPv6防火墻設(shè)置以及以太網(wǎng)橋

支持服務(wù)或應(yīng)用程序直接添加防火墻規(guī)則接口

擁有兩種配置模式

? 運(yùn)行時(shí)配置

? 永久配置

Firewalld和iptables的關(guān)系

netfilter

位于Linux內(nèi)核中的包過濾功能體系

稱為L(zhǎng)inux防火墻的“內(nèi)核態(tài)”

Firewalld/iptables

CentOS7默認(rèn)的管理防火墻規(guī)則的工具

稱為L(zhǎng)inux防火墻的“用戶態(tài)”
Firewalld防火墻基礎(chǔ)

Firewalld和iptables的區(qū)別

Firewalld防火墻基礎(chǔ)

Firewalld網(wǎng)絡(luò)區(qū)域

區(qū)域介紹
Firewalld防火墻基礎(chǔ)
其中在不對(duì)網(wǎng)卡調(diào)整時(shí)。public為默認(rèn)模式

區(qū)域如同進(jìn)入主機(jī)的安全門,每個(gè)區(qū)域都具有不同限制程度的規(guī)則
可以使用一個(gè)或多個(gè)區(qū)域,但是任何一個(gè)活躍區(qū)域至少需要關(guān)聯(lián)源地址或接口
默認(rèn)情況下,public區(qū)域是默認(rèn)區(qū)域,包含所有接口(網(wǎng)卡)

Firewalld數(shù)據(jù)處理流程

檢查數(shù)據(jù)來源的源地址
若源地址關(guān)聯(lián)到特定的區(qū)域,則執(zhí)行該區(qū)域所指定的規(guī)則
若源地址未關(guān)聯(lián)到特定的區(qū)域,則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則
若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域,則使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則

Firewalld防火墻的配置方法

運(yùn)行時(shí)配置

實(shí)時(shí)生效,并持續(xù)至Firewalld重新啟動(dòng)或重新加載配置
不中斷現(xiàn)有連接
不能修改服務(wù)配置

永久配置

不立即生效,除非Firewalld重新啟動(dòng)或重新加載配置
終端現(xiàn)有連接
可以修改服務(wù)配置

Firewall-config圖形工具

運(yùn)行時(shí)配置/永久配置
重新加載防火墻
更改永久配置并生效(關(guān)聯(lián)網(wǎng)卡到指定區(qū)域)
修改默認(rèn)區(qū)域
連接狀態(tài)
Firewalld防火墻基礎(chǔ)

區(qū)域選項(xiàng)卡內(nèi)容
1.“服務(wù)” 子選項(xiàng)卡
2.“端口”子選項(xiàng)卡
3.“協(xié)議”子選項(xiàng)卡
4.“源端口”子選項(xiàng)卡
5.“偽裝”子選項(xiàng)卡
6.“端口轉(zhuǎn)發(fā)”子選項(xiàng)卡
7.“ICMP過濾器”子選項(xiàng)卡

服務(wù)選項(xiàng)卡
1.“模塊”子選項(xiàng)卡
2.“目標(biāo)地址”子選項(xiàng)卡

Firewalld防火墻案例

需求描述:
禁止主機(jī)ping服務(wù)器
只允許192.168.131.129主機(jī)訪問SSH服務(wù)
允許所有主機(jī)訪問Apache服務(wù)
在終端使用命令:firewall-config 進(jìn)入firewall的圖形化界面
Firewalld防火墻基礎(chǔ)
只允許192.168.131.129訪問SSH服務(wù)的設(shè)置
在區(qū)域的選項(xiàng)卡中選擇work,再選擇子選項(xiàng)卡“來源”,在其中添加允許訪問SSH服務(wù)主機(jī)的IP地址192.168.131.129
在區(qū)域的選項(xiàng)卡中選擇work,勾選ssh與dhcp并去除dhcpv6-clicent,之后再public(公共區(qū)域)中去除ssh選項(xiàng)
Firewalld防火墻基礎(chǔ)

允許所有主機(jī)訪問Apache服務(wù)配置
在區(qū)域的選項(xiàng)卡中選擇public(公共區(qū)域),勾選dhcp并去除dhcpv6-clicent

禁止主機(jī)ping服務(wù)器配置
在work的ICMP過濾器選項(xiàng)中勾選echo-request
在public(公共區(qū)域)的ICMP過濾器選項(xiàng)中勾選echo-reply
Firewalld防火墻基礎(chǔ)
Firewalld防火墻基礎(chǔ)

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI