当前位置：首页 > news >正文

firewall防火墙

news 来源：原创 2025/6/15 23:26:06

一.Firewalld 防火墙概述

1.firewalld 简介

firewalld 的作用是为包过滤机制提供匹配规则(或称为策略)，通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewa11d 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPV4、IPv6 防火墙设置以及以太网桥，并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。

2.firewalld 和 iptables 的关系

firewalld 自身并不具备防火墙的功能，而是和 iptables 一样需要通过内核的 netfilter 来实现。也就是说 firewalld 和 iptables 一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的 netfilter，只不过 firewalld 和 iptables 的结构以及使用方法不一样罢了。
系统提供了图形化的配置工具 firewall-config、system-config-firewal，提供命令行客户端firewall-cmd,用于配置 firewalld 永久性或非永久性运行时间的改变:它依次用 iptables 工具与执行数据包筛选的内核中的 Netfilter 通信。

3.firewalld与iptables service 的区别

iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld 将配置储存在/usr/lib/firewalld/和/etc/firewalld/中的各种 XL 文件里。使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewal1d 可以在运行时间内,改变设置而不丢失现行连接。

二.Firewalld 网络区域

firewalld 将所有的网络数据流量划分为多个区域，从而简化防火墙管理。根据数据包的源 IP 地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检查的就是其源地址。
若源地址关联到特定的区域，则执行该区域所制定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则。
默认区域不是单独的区域，而是指向系统上定义的某个其他区域。默认情况下，默认区域是 public，但是系统管理员可以更改默认区域。以上匹配规则，按照先后顺序，第一个匹配的规则胜出。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域都设置了默认打开的服务。下表中列出了 firewalld 的预定义区域说明。

三.Firewalld 防火墙图形配置方法

在 Euler 系统中，可以使用三种方式配置firewalld 防火墙:
firewall-config 图形工具。
firewal1-cmd 命令行工具。
/etc/firewalld/中的配置文件。
通常情况下，不建议直接编辑配置文件。所以本章我们只介绍 firewall-config 图形工具与firewall-cmd 命令行工具的配置方法。
firewall-config 图形化配置工具支持防火墙所有的特性，系统管理员可以通过它来改变系统或用户策略。通过 firewall-config 图形化配置工具，可以实现配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等功能。在 Centos7 系统中单击“应用程序”中的“杂项”，选择“防火墙”即可打开如图所示的 firewall-config 工作界面，或者直接在终端中输入 firewall-config 命令也可以打开此界面。

请添加图片描述
firewall-config 工作界面主要分为三个部分，上面是主菜单，中间是配置选项，下面是区域、服务、IPsets、ICMP 类型、直接配置、锁定白名单设置选项卡。其中，ICMP 类型、直接配置和锁定白名单选项卡只在从“查看”下拉菜单中选择之后才能看见。最底部是状态栏从左到右显示了四个信息，依次是连接状态、默认区域、锁定状态、应急模式。
firewall-config 主菜单包括四个菜单项:文件、选项、査看、帮助。其中,“选项”菜单是最重要的，主要包括以下几个选项。
重新加载防火墙:重新加载防火墙规则，当前的永久配置将变成新的运行时配置。例如，所有的当前运行的配置规则如果没有在永久配置中操作，系统重新加载后就会丢失。更改连接区域:更改网络连接的所属区域和接口。
改变默认区域:更改网络连接的默认区域。
应急模式:表示丢弃所有的数据包。
锁定:可以对防火墙的配置进行加锁，只允许白名单上的应用程序进行修改。
“配置”选项包括运行时和永久两种。运行时配置为当前使用的配置规则，永久配置规则在系统或服务重启时生效。在 firewal1-config 界面中主要需要了解的是区域、服务、ICMP 等设置的选项卡。

1.“区域”选项

“区域”选项卡是一个主要设置的界面。“区域”选项卡下面还包含服务、端口、协议、源端口、伪装等一系列子选项卡。所以说，区域是服务、端口、协议、IP 伪装、ICMP 过滤等组合的意思，同时区域也可以绑定到接口和源地址。

(1)“服务”子选项卡

“服务”子选项卡可以定义区域中哪些服务是可信的，可信的服务可以被绑定到该区域的任意连接、接口和源地址访问，如图所示。
请添加图片描述

(2)“端口”子选项卡

“端口”子选项卡用于设置允许访问的主机或网络访问的端口范围，如图所示。
请添加图片描述

(3)“协议”子选项卡

用于添加所有主机或网络均可访问的协议。
请添加图片描述

(4)“源端口”子选项卡

“源端口”子选项卡可以添加额外的源端口或范围，连接到这台主机的所有主机或网络均可访问，如图所示。设置源端口时，可以设置某一个端口号或者是端口范围，同时还需要选择对应的 TCP 或 UDP 协议。
请添加图片描述

(5)“伪装”子选项卡

用于把私有网络地址映射到公有的IP地址，该功能目前只适用于IPv4。
请添加图片描述

(6)“端口转发”子选项卡

“端口转发”子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口，在设置端口转发时同样需要选择协议类型，且该功能也仅支持IPv4。
请添加图片描述

(7)“ICMP 过滤器”子选项卡

ICMP 主要用于在联网的计算机间发送出错信息,但也发送类似 ping 请求以及回应等信息。在“ICMP过滤器”子选项卡中可以选择应该被拒绝的 ICMP 类型，其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制。
请添加图片描述

2.“服务”选项卡

服务是端口、协议、模块和目标地址的组合，并且“服务”选项卡只能在“永久”配置视图中修改,运行时”配置中的服务是不可以修改的。与“区域”选项卡不同，“服务”选项卡仅包含五个子选项卡。其中，“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。

(1)“模块”子选项卡

用于设置网络过滤的辅助模块
请添加图片描述

(2)“目标地址”子选项卡

如果某服务指定了目标地址，服务项目仅限于目标地址和类型，如果IPv4与IPv6均为空，则没有限制。

请添加图片描述

3.改变防火墙设置

要立刻改变现在的防火墙设置，须确定当前视图设定在运行时。或者，从下拉菜单中选择永久(Permanent)如下图所示，编辑下次启动系统或者防火墙重新加载时执行的设定。
请添加图片描述

4.修改默认分区

要设定一个将要被分配新接口的分区作为默认值，则启动firewall-config,从菜单栏选择选项卡,由下拉菜单中选择修改默认区域，出现默认区域窗口如图所示。从给出的列表中选择您需要用的分区作为默认分区，点击确定按钮即可。
请添加图片描述

四.Firewalld 防火墙 firewall-cmd 命令设置

1.获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型，具体的查看命令如下所示。
请添加图片描述

请添加图片描述

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
destination-unreachable:目的地址不可达。
echo-reply:应回应(pong)
parameter-problem:参数问题。
redirect:重新定向。
router-advertisement:路由器通告。
router-solicitation:路由器征寻。
source-quench:源端抑制。
time-exceeded:超时
timestamp-reply:时间截应答回应。
timestamp-request:时间戳请求

2.区域管理

使用 firewall-cmd 命令可以实现获取和管理区域，为指定区域绑定网络接口等功能。下表中列出firewallcmd 命令的区域管理选项说明。

(1)显示当前系统中的默认区域

请添加图片描述

(2)显示默认区域的所有规则。

请添加图片描述

(3)显示网络接口 ens160 对应区域.

请添加图片描述

(4)将网络接口 ens160 对应区域更改为 internal区域。

请添加图片描述

(5)显示所有激活区域。

请添加图片描述

3.服务管理

为了方便管理，firewalld 预先定义了很多服务，存放在 /usr/lib/firewalld/services/ 目录中，服务通过单个的 XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml，每个文件对应一项具体的网络服务，如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的 firewal1d 中默认已经定义了 70 多种服务供我们使用，对于每个网络区域，均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将 service 配置文件放置在/etc/firewalld/services/目录中。service 配置具有以下优点。
通过服务名字来管理规则更加人性化。
通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

下面列出了 firewallcmd 命令区域中服务管理的常用选项说明。

–get-default-zone查访默认的区域名称
–set-default-zone=<区域名称>设置默认的区域，使其永久生效
–get-zones显示可用的区域
–get-services显示预定义的服务
–get-active-zones显示当前正在使用的区域、来源地址和网卡名称
–add-source=将源自此IP或子网的流量导向指定的区域
–remove-source=不再将源自此IP或子网的流量导向这个区域
–add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域–change-interface=<网卡名称>将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数、资源、”端口以及服务等信息
–list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
–add-service=<服务名>设置默认区域允许该服务的流量
–add-port=<端口号/协议>设置默认区域允许该端口的流量
–remove-service=<服务名>设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>设置默认区域不再允许该端口的流量
–reload让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
–panic-on开启应急状况模式
–panic-off关闭应急状况模式

(1)为默认区域设置允许访问的服务。

请添加图片描述

(2)为internal区域设置允许访问的服务。

请添加图片描述

4.端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作即可实现在 internal 区域打开 443/TCP 端口。
请添加图片描述

5.两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置，在系统或 firewalld 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
–reload:重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。–permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项，表示用于设置运行时规则。
–runtime-to-permanent:将当前的运行时配置写入规则配置文件中，使之成为永久性配置。

一.Firewalld 防火墙概述

1.firewalld 简介

2.firewalld 和 iptables 的关系

3.firewalld与iptables service 的区别

二.Firewalld 网络区域

三.Firewalld 防火墙图形配置方法

1.“区域”选项

(1)“服务”子选项卡

(2)“端口”子选项卡

(3)“协议”子选项卡

(4)“源端口”子选项卡

(5)“伪装”子选项卡

(6)“端口转发”子选项卡

(7)“ICMP 过滤器”子选项卡

2.“服务”选项卡

(1)“模块”子选项卡

(2)“目标地址”子选项卡

3.改变防火墙设置

4.修改默认分区

四.Firewalld 防火墙 firewall-cmd 命令设置

1.获取预定义信息

2.区域管理

(1)显示当前系统中的默认区域

(2)显示默认区域的所有规则。

(3)显示网络接口 ens160 对应区域.

(4)将网络接口 ens160 对应区域更改为 internal区域。

(5)显示所有激活区域。

3.服务管理

(1)为默认区域设置允许访问的服务。

(2)为internal区域设置允许访问的服务。

4.端口管理

5.两种配置模式

相关文章：