Fiewalld防火墻基礎(chǔ)（一）

Fiewalld防火墻基礎(chǔ)

1.Fiewalld概述

2.Fiewalld和iptables的關(guān)系

3.Fiewalld網(wǎng)絡(luò)區(qū)域

4.Fiewalld防火墻的配置方法

5.Fiewalld-config圖形工具

6.Fiewalld防火墻案例

Fiewalld概述

Fiewalld簡(jiǎn)介

1.支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具

2.支持IPv4、IPv6防火墻設(shè)置以及以太網(wǎng)橋

3.支持服務(wù)或應(yīng)用程序直接添加防火墻規(guī)則接口

4.擁有兩種配置模式：運(yùn)行時(shí)配置、永久配置

基于端口、協(xié)議、

Fiewalld和iptables的關(guān)系

netfilter：

1.位于Linux內(nèi)核中的包過濾功能體系

2.稱為Linux防火墻的“內(nèi)核態(tài)”

Fiewalld/iptables：

1.CentOS7默認(rèn)管理防火墻規(guī)則的工具（Fiewalld）

2.稱為Linux防火墻的“用戶態(tài)”

Fiewalld和iptables的區(qū)別：

Fiewalld網(wǎng)絡(luò)區(qū)域

區(qū)域介紹：

PAT優(yōu)點(diǎn)：安全、節(jié)約了IP地址的資源

iptables：

1.SNAT（原地址轉(zhuǎn)換）

2.DNAT（目標(biāo)地址轉(zhuǎn)換）

區(qū)域介紹1：

1.區(qū)域如同進(jìn)入主機(jī)的安全門，每個(gè)區(qū)域都具有不同限制程度的規(guī)則

2.可以使用一個(gè)或多個(gè)區(qū)域，但是任何一個(gè)活躍區(qū)域至少需要關(guān)聯(lián)原地址或接口

3.默認(rèn)情況下，public區(qū)域是默認(rèn)區(qū)域，包含所有接口（網(wǎng)卡）

Firewalld數(shù)據(jù)處理流程：

檢查數(shù)據(jù)來源地址：

1.若源地址關(guān)聯(lián)到特定的區(qū)域，則執(zhí)行該區(qū)域所制定的規(guī)則

2.若源地址未關(guān)聯(lián)到特定區(qū)域，則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所制定的規(guī)則

3.若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域，則使用默認(rèn)區(qū)域所指定的規(guī)則

Firewalld防火墻的配置方法

運(yùn)行時(shí)配置：

1.實(shí)時(shí)生效，并持續(xù)至Firewalld重新啟動(dòng)或重新加載配置

2.不中斷現(xiàn)有鏈接

3.不能修改服務(wù)配置

永久配置：

1.不立即生效，除非Firewalld重新啟動(dòng)或重新加載配置

2.終端現(xiàn)有連接

3.可以修改服務(wù)配置

Firewalld-config圖形工具

Firewalld-cmd命令工具

/etc/firewalld/中的配置文件：

1.Firewalld會(huì)優(yōu)先使用/etc/firewalld/中的配置，如果不存在配置文件時(shí)可通過從/usr/lib/firewalld/中拷貝

2./usrlib/firwalld/：默認(rèn)配置文件，不建議修改，若恢復(fù)至默認(rèn)配置，可直接刪除/etc/firewalld/中的配置

Firewall-config圖形工具：

1.運(yùn)行時(shí)配置/永久配置

2.重新加載防火墻

3.關(guān)聯(lián)網(wǎng)卡到指定區(qū)域

4.修改默認(rèn)區(qū)域

5.連接狀態(tài)

6.“區(qū)域”選項(xiàng)卡：

服務(wù)、端口、協(xié)議、源端口、偽裝、端口轉(zhuǎn)發(fā)、ICMO過濾器

7.“服務(wù)”選項(xiàng)卡：

模塊、目標(biāo)地址