firewalld 防火墙
技能展示
理解frewalda方火墙基本原理
使用firewall-confg配置防火墙
使用firewall-cmd配置防火墙
简介
在hternet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如Web网站,电子邮件系统, FTP服务器,数据库系统等。那么,如何来保护这些服务器,过滤企业非授权的访问,甚至是·恶意的入侵呢?
本章将开始学习Linux系统中的防火墙-netiter frewalld ,括防火墙的结构与匹配流程以及如何编写防火墙规则
重点
熟悉frewalld预定义的网络区域
使用tirewall-contig 配置防火墙
使用firewall-cmd配置防火墙
理论讲解
Llinux防火墙基础
防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合,也是不同安全域之间信息的唯一出口。通过监测,限制并更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状态,且有选择地接受外部网络访问,在内外网之间架起一道屏障,以避免发生不可预知或潜在的入侵。从传统意义上来说防火墙技术分为三类:包过滤(Packet Filtering) .应用代理(Application Proxy). 状态检测(Stateful nspection),无论一个防火墙的实现过程有多复杂,归根结底都是在这三种技术的基础上进行扩展的。
Linux的防火墙体系主要工作在网络层,针对TCP/P数据包实时过滤和限制,属于典型的包过滤·防火墙(或称为网络层防火墙), Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用,在CantOS 7系统中几种防火墙共存: frewalld, iptables, ebtables.默认使用frewalld 管理netiter 系统,本书中重点讲解frewalld
netilter,指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在属于‘内核态” (Kermel Space,又称为内核空间]的防火墙功能体系。
frewalld.指用于管理Linux防火墙的命令程序,属于’用户态” (User Space,又称为用户空间)的防火墙管理体系。
后续内容中不严格区分ntfiter frewalld,者均可表示为Linx防火墙
firewalld概述
1. firewall 简介firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netifitear对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式,为了更加方便地组织和管理防火墙, frewalla 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持PV4, PV6防火墙设置以及以太网桥,并且拥有两种配置模式;运行时配置与永久配置,它还支持服务或应用程序直接添加防火墙规则接口。
2. firewalld网络区域firewalld 将所有的网络数据流量划分为多个区域,从而简化防护墙管理。根据数据包的源P地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则,对于进入系统的数据包,首先检查的就是其源地址。
若源地址关联到特定的区域,则执行该区域所制定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则。
默认区域不是单独的区域,而是指向系统上定义的某个其他区域,默认情况下,默认区域是public,但是系统管理员可以更改默认区域,以上匹配规则,按照先后顺序,第一个匹配的规则胜出。
在每个区域中都可以配置其要打开或者关闭的一系列服务或端口, firewald 的每个预定义的区域都设置了默认打开的服务,表2-1中列出了firewalld 的预定义区域说明
firewalld的预定义区域说明
一.Firewalld防火墙
1.防火墙的作用和特定
1)防火墙的作用
增强安全性
对传输的神经病进行检查
2)防火墙的特定
工作在网络层对数据包进行过滤
防火墙内访问外策宽松
2.防火墙类型
1)硬件防火墙
稳定性强
可靠性强
处理数据速度快
ASA.华为防火墙.深信服防火墙
2)软件防火墙
稳定性差
处理数据速度慢
Firewalld,iptables,TMG,ISA
3.防火墙功能分类
1)应用代理防火墙
对应用层程序进行监控
限制应用程序访问数据或者网络
2)网络防火墙
对传输的数据包进行过滤
Iptables,firewalld都属于网络防火墙
3)状态化防火墙
硬件防火墙都属于状态防火墙
根据conn表转发数据
4.防火墙内核和防火墙管理工具
1)防火墙内核
netfilfer属于Linux的防火墙内核
决定系统是否支持防火墙功能
2)Firewalld
提供的是管理防火墙的内核程序
5.firewalld数据处理流程和常见区域
1)firewalld处理流程
源地址所在接口区域配置防火墙规则,执行接口所在区域防火墙规则
源地址所在接口没有关联到区域中,执行进入防火墙接口区域所在的规则
接口没有关联到区域中,执行默认区域中的规则,firewalld默认区域是public区域
2)firewalld常见的区域
trusted:允许所有数据进出,一般内部网络使用
home:拒绝流量进入,允许流量出,允许ssh.ipp-client,smba-client,dhcp服务进入
internel:功能和home一样
work:拒绝流量进入,允许流量出
public:拒绝流量进入,允许流量出,ssh,dhcp流量进入
external:拒绝流量进入,允许出和允许ssh服务,一般企业外网使用
dmz:非军事化区域,拒绝流量进入,允许ssh服务进入
block:拒绝流量进入,允许流量出
drop:拒绝任何流量
6.firewalld工具类型
1)firewalld-cmd
命令行工具
配置简单灵活
2)firewalld-config
图形化配置防火墙使用
配置简单
7.防火墙的网络类型
1)双向外围网络
防火墙只有两个区域
一个内网一个外网
2)三向外围网络
防火墙有三个区域
一个内网
一个外网
一个DMZ
3)背靠背网络
两台防火墙中间是服务
二.配置firewalld防火墙的基本应用
1.防火墙基础操作
1)启动防火墙服务
[root@Centos ~]# systemctl start firewalld
2)设置开机启动
[root@Centos ~]# systemctl enable firewalld
3)查看防火墙服务允许状态
[root@Centos ~]# systemctl status firewalld
4)查看防火墙的区域类型
[root@Centos ~]# firewall-cmd –get-zones
5)查看防火墙的默认区域
[root@Centos ~]# firewall-cmd –get-default-zone
6)查看ICMP协议帮助
[root@Centos ~]# firewall-cmd –get-icmptypes
2.防火墙区域的基本配置
1)接口加入到trusted区域
[root@Centos ~]# firewall-cmd –add-interface=ens32 –zone=trusted
2)修改trusted为默认区域
[root@Centos ~]# firewall-cmd –set-default-zone=trusted
3)查看ens32网卡所在的区域
[root@Centos ~]# firewall-cmd –get-zone-of-interface=ens32
4)备份ens34网卡和ens35网卡
[root@Centos ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-
scripts/ifcfg-ens34
[root@Centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens34
[root@Centos ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-
scripts/ifcfg-ens35
[root@Centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens35
重启网卡
[root@Centos ~]# systemctl restart network
5)修改ens32网卡区域到dmz
[root@Centos ~]# firewall-cmd –change-interface=ens32 –zone=dmz
6)ens32网卡从DMZ区域删除
[root@Centos ~]# firewall-cmd –remove-interface=ens32 –zone=dmz
7)查看所有区域中的规则
[root@Centos ~]# firewall-cmd –list-all-zones
8)查看指定区域中的规则
[root@Centos ~]# firewall-cmd –zone=external –list-all
9)centos1开启路由功能
[root@Centos ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
10)centos02_LAN内网,centos03_WAN外网,centos04_DMZ
Centos03
11)不同网络通信配置centos02网关
GATEWAY=192.168.100.10
12)重启网卡
[root@centos02 ~]# systemctl restart network
13)查看网关
[root@centos02 ~]# route -n
14)添加到trusted区域
[root@centos02 ~]# firewall-cmd –add-interface=ens32 –zone==trusted
15)默认trusted区域
[root@centos02 ~]# firewall-cmd –set-default-zone=trusted
18)开启防火墙
[root@centos02 ~]# systemctl start firewalld
[root@centos02 ~]# systemctl enable firewalld
19)修改centos03网卡
20)修改centos04网卡
21)启动防火墙
3.配置防火墙规则
1)允许客户端访问DMZ服务器的apache服务
[root@centos04 ~]# firewall-cmd –zone=dmz –add-service=http
2)允许客户端访问DMZ服务器的80端口
[root@centos04 ~]# firewall-cmd –zone=dmz –add-port=8/tcp
3)删除80端口访问规则
[root@centos04 ~]# firewall-cmd –zone=dmz –remove-port=80/tcp
4)查看允许访问的协议和端口
[root@centos04 ~]# firewall-cmd –zone=dmz –list-ports
5)禁止发送icmp协议请求
今天的文章firewalld防火墙配置_firewalld与iptables的区别分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/67107.html
