溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

如何解析Linux系統(tǒng)防火墻

發(fā)布時(shí)間:2022-01-26 10:48:00 來源:億速云 閱讀:194 作者:柒染 欄目:開發(fā)技術(shù)

今天就跟大家聊聊有關(guān)如何解析Linux系統(tǒng)防火墻,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

防火墻可以有效保護(hù)系統(tǒng)的安裝,Linux的防火墻主要工作在網(wǎng)絡(luò)層,針對(duì)TCP/IP數(shù)據(jù)包實(shí)施過濾和限制,屬于典型的包過濾防火墻。

一、Linux防火墻簡(jiǎn)介

Linux的防火墻主要工作在網(wǎng)絡(luò)層,針對(duì)TCP/IP數(shù)據(jù)包實(shí)施過濾和限制,屬于典型的包過濾防火墻。

二、 Linux軟件防火墻作用

防火墻可以單獨(dú)/批量禁止/允許某個(gè)/多個(gè)端口的數(shù)據(jù)通過,也可以將某個(gè)端口的數(shù)據(jù)轉(zhuǎn)發(fā)到另外一個(gè)端口/ip。

三、 Linux軟件防火墻工具

在Centos 6中主要使用:

iptables(命令管理工具);操作較復(fù)雜。

在Centos 7中主要使用:

firewall-config(圖形化管理工具);

firewall-cmd(命令管理工具),在生產(chǎn)環(huán)境中用的較多。

本文主要介紹Centos7 Firewalld防火墻。

四、Firewalld簡(jiǎn)介

(1)支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)連接及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具

(2)支持IPv4,IPv6防火墻設(shè)置

(3)支持服務(wù)或應(yīng)用程序直接添加防火墻規(guī)則接口

(4)擁有兩種配置模式,

運(yùn)行時(shí)配置和永久配置。

4.1 firewalld防火墻區(qū)域介紹

為了簡(jiǎn)化管理,firewalld防火墻將所有的網(wǎng)絡(luò)流量分為多個(gè)區(qū)域,每個(gè)區(qū)域都具有不同程度的規(guī)則,默認(rèn)情況下,public公共區(qū)域是默認(rèn)區(qū)域,包含所有接口網(wǎng)卡。 如何解析Linux系統(tǒng)防火墻

4.2 firewalld防火墻的工作流程

檢查數(shù)據(jù)來源的源地址:

若源地址關(guān)聯(lián)到特定的區(qū)域,則執(zhí)行該區(qū)域所指定的規(guī)則;

若源地址未關(guān)聯(lián)到特定的區(qū)域,則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則;

若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域,則使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所指定規(guī)則。

五、Firewalld防火墻的配置方法
5.1 運(yùn)行時(shí)配置

實(shí)時(shí)生效,并持續(xù)至Firewalld重新啟動(dòng)或重新加載配置;

不中斷現(xiàn)有連接;

不能修改服務(wù)配置。

5.2 永久配置

不立即生效,除非Firewalld重新啟動(dòng)或重新加載配置;

中斷現(xiàn)有連接;

可以修改服務(wù)配置。

六、 Firewall-config圖形工具

Firewal-config是firewalld防火墻自帶的圖形管理工具,可以直接使用命令firewall-config啟動(dòng),可以簡(jiǎn)單的完成很多復(fù)雜的防火墻設(shè)置。

 [root@localhost ~]# firewall-config
 1

如何解析Linux系統(tǒng)防火墻

七、firewall-cmd 字符工具

firewall-cmd是firewalld防火墻自帶的字符管理工具,可以用來設(shè)置防火墻的各種規(guī)則。

特點(diǎn):

(1)支持全部防火墻特性;

(2)–permanent參數(shù):攜帶該參數(shù)表示永久配置,否則表示運(yùn)行時(shí)配置;

(3)[–zone=]選項(xiàng):不攜帶此選項(xiàng)表示針對(duì)默認(rèn)區(qū)域操作,否則針對(duì)指定區(qū)域。

7.1 防火墻進(jìn)程操作命令
 [root@localhost ~]# systemctl 選項(xiàng) firewalld
 1

選項(xiàng):start stop restart status(開啟,停止,重啟,狀態(tài))

常用指令如下:

7.2 防火墻區(qū)域操作命令

(1)顯示所有區(qū)域及其規(guī)則

 [root@localhost ~]# firewall-cmd --list-all-zones
 1

(2)顯示internal區(qū)域的所有規(guī)則

 [root@localhost ~]# firewall-cmd --zone=internal --list-all
 1

(3)顯示默認(rèn)區(qū)域的所有規(guī)則

 [root@localhost ~]# firewall-cmd --list-all
 1

(4)顯示網(wǎng)絡(luò)連接或接口的默認(rèn)區(qū)域

 [root@localhost ~]# firewall-cmd --get-default-zone
 public
 12

(5)設(shè)置網(wǎng)絡(luò)連接或接口的默認(rèn)區(qū)域?yàn)閕nternal

 [root@localhost ~]# firewall-cmd --set-default-zone=internal
 success
 [root@localhost ~]# firewall-cmd --get-default-zone
 internal       '#默認(rèn)區(qū)域已改為internal'
 [root@localhost ~]#
 12345

(6)顯示已激活的所有區(qū)域

激活條件:區(qū)域至少關(guān)聯(lián)一個(gè)接口或一個(gè)源地址/網(wǎng)段

 [root@localhost ~]# firewall-cmd --get-active-zones
 internal
   interfaces: ens33
 [root@localhost ~]#
 1234

(7)顯示ens33網(wǎng)卡接口綁定的區(qū)域

 [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
 internal     '#綁定在默認(rèn)區(qū)域'
 [root@localhost ~]#
 123

(8)為work區(qū)域更改綁定的網(wǎng)絡(luò)接口ens33

 [root@localhost ~]# firewall-cmd --zone=work --change-interface=ens33  '#更改接口'
 The interface is under control of NetworkManager, setting zone to work.
 success
 [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33      '#顯示接口綁定區(qū)域'
 work                             '#更改成功'
 
 123456

(9)為work區(qū)域刪除綁定的接口ens33

 [root@localhost ~]# firewall-cmd --zone=work --remove-interface=ens33 '#刪除接口'
 The interface is under control of NetworkManager, setting zone to default.
 success
 [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33    '#顯示接口綁定區(qū)域'
 internal                                               '#解綁成功'
 [root@localhost ~]#
 
 1234567

(10)查詢區(qū)域中是否包含ens33接口

 [root@localhost ~]# firewall-cmd --zone=work --query-interface=ens33
 no
 [root@localhost ~]#
 
 1234
7.3 防火墻區(qū)域操作命令小結(jié)

如何解析Linux系統(tǒng)防火墻如何解析Linux系統(tǒng)防火墻

7.4 防火墻端口操作命令

(1)啟用internal區(qū)域22端口的TCP協(xié)議組合

 [root@localhost ~]# firewall-cmd --zone=internal --add-port=22/tcp --timeout=5m
 success
 12

–timeout=5m:表示5分鐘后刪除該端口。

(2)顯示internal區(qū)域內(nèi)允許訪問的端口號(hào)

 [root@localhost ~]# firewall-cmd --zone=internal --list-ports
 22/tcp
 
 123

(3)禁用internal區(qū)域22端口的TCP協(xié)議組合

 [root@localhost ~]# firewall-cmd --zone=internal --remove-port=22/tcp
 success
 12

(4)查詢internal區(qū)域中是否啟用了22端口TCP

 [root@localhost ~]# firewall-cmd --zone=internal --query-port=22/tcp
 no
 12
7.5 防火墻端口操作命令小結(jié)

如何解析Linux系統(tǒng)防火墻

7.6 防火墻阻塞ICMP操作命令

(1)為work區(qū)域設(shè)置阻塞echo-request類型的ICMP

 [root@localhost ~]# firewall-cmd --zone=work --add-icmp-block=echo-request
 success
 12

(2)顯示work區(qū)域內(nèi)阻塞的所有ICMP類型

 [root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks
 echo-request
 [root@localhost ~]#
 123

(3)刪除work區(qū)域已阻塞的echo-request類型的ICMP

 [root@localhost ~]# firewall-cmd --zone=work --remove-icmp-block=echo-request
 success
 12

(4)查詢work區(qū)域的echo-request類型的ICMP是否阻塞

 [root@localhost ~]# firewall-cmd --zone=work --query-icmp-block=echo-request
 no
 12
7.7 防火墻阻塞ICMP操作命令小結(jié)

如何解析Linux系統(tǒng)防火墻

看完上述內(nèi)容,你們對(duì)如何解析Linux系統(tǒng)防火墻有進(jìn)一步的了解嗎?如果還想了解更多知識(shí)或者相關(guān)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI