一,firewalld概述

1.firewalld防火墙

firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
它支持IPv4、 IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式:运行时配置与永久配置。

2.区域

区域:firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
九个区域:

1.trusted(信任区域):允许所有的传入流量。
2.public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
3.external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为 路由器启用了伪装功能的外部网络。
4.home(家庭区域):允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
5.internal(内部区域):默认值时与home区域相同。
6.work(工作区域):允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
7.dmz(隔离区域也称为非军事区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
8.block(限制区域):拒绝所有传入流量。
9.drop(丢弃区域):丢弃所有传入流量,并且不产生包含ICMP的错误响应。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)
[没有匹配规则走网卡,有匹配规则走区域]

3.流程与规则

firewalld数据处理流程:
firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。

firewalld检查数据包的源地址规则:
1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

二,firewalld配置

1.配置方法

1.使用firewall-cmd 命令行工具。
2.使用firewall-config 图形工具。
3.编写/etc/firewalld/中的配置文件。

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置。
/etc/firewalld/ :用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝;
/usr/lib/firewalld/: 默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

2.获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型;
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
destination-unreachable:目的地址不可达。
echo-reply:应答回应(pong)。
parameter-problem:参数问题。
redirect:重新定向。
router-advertisement:路由器通告。
router-solicitation:路由器征寻。
source-quench:源端抑制。
time-exceeded:超时。
timestamp-reply:时间戳应答回应。
timestamp-request:时间戳请求。

3.区域管理

--get-default-zone  
显示网络连接或接口的默认区域

--set-default-zone=<zone>
设置网络连接或接口的默认区域

--get-active-zones
显示已激活的所有区域

--get-zone-of-interface=<interface>
显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface>
为指定接口绑定区域

--zone=<zone> --change-interface=<interface>
为指定的区域更改绑定的网络接口

--zone=<zone> --remove-interface=<interface>
为指定的区域删除绑定的网络接口

--list-all-zones
显示所有区域及其规则

[--zone=<zone>] --list-all
显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作

4.服务管理

为了方便管理,firewalld 预先定义了很多服务,存放在 /usr/lib/firewalld/services/ 目录中, 服务通过单个的 XML 配置文件来指定。
这些配置文件则按以下格式命名: service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。
在最新版本的 firewalld 中默认已经定义了70 多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。
当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在/etc/firewalld/services/ 目录中。service 配置具有以下优点。

具体操作如下所示。
(1)为默认区域设置允许访问的服务。

[root@localhost <sub>]# firewall-cmd --list-services
//显示默认区域内允许访问的所有服务dhcpv6-clientssh
[root@localhost </sub>]# firewall-cmd --add-service=http
//设置默认区域允许访问http 服务
success
[root@localhost <sub>]# firewall-cmd --add-service=https
//设置默认区域允许访问https 服务
success
[root@localhost </sub>]# firewall-cmd --list-services
dhcpv6-client ssh http https



(2)为internal 区域设置允许访问的服务。
[root@localhost <sub>]# firewall-cmd --zone=internal --add-service=mysql
//设置internal 区域允许访问 mysql 服务
success
[root@localhost</sub>]# firewall-cmd --zone=internal --remove-service=samba-client
//设置internal 区域不允许访问 samba-client 服务
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services
//显示internal 区域内允许访问的所有服务
ssh mdns dhcpv6-client mysql

5.端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在internal区域打开443/TCP 端口。

[root@localhost <sub>]# firewall-cmd --zone=internal --add-port=443/tcp
success

若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。
[root@localhost </sub>]# firewall-cmd --zone=internal --remove-port=443/tcp
success

6.配置模式

firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。
--reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。

--permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。