FireWalld防火墙是CentOS7系统的默认防火墙管理工具,取代了以前的Iptables防火墙,该防火墙也在网络层上工作,该网络层是包装过滤器防火墙。
防火墙和iptables都是用于管理防火墙(属于用户模式)的工具,以定义防火墙的各种规则。内部结构指向NetFilter网络过滤系统(属于内核状态),以实现包装过滤防火墙功能。
FireWalld提供了一个动态的防火墙管理工具,该工具支持网络区域和接口安全级别中定义的网络连接。
NetFilter
防火墙/iptables
1.规则的不同设置:
2.不同的配置文件:
3.修改规则:
4.不同类型的防火墙:
为了简化防火墙防火墙的管理,所有网络流量均分为多个区域(区域)。然后根据数据包的源IP地址或数据包的网络接口传递到相应的区域每个区域定义打开或关闭的端口和服务列表。
这些区域中的配置文件以/usr/lib/fileWalld/Zones的形式显示,并且有一个目录/etc/firewalld/Zones。当使用FireWalld规则时,您将首先转到/etc/etc/firewalld/Directory。如果可以找到它,请直接使用它。如果您找不到它,您将继续找到/usr/lib/fileWalld/Directory。
值得信赖的(信任区域)允许所有传输流量。公共(公共区域)允许使用SSH或DHCPV6-CLIENT的预定服务进行流量传输,其余的是拒绝。这是新网络接口的默认区域(外部区域)(外部区域))允许使用SSH预定服务的其余入口流。HOME(HOME区域)允许SSH,MDN,Samba-Client或DHCPV6-CLIENT的预先确定的服务以及其他拒绝。作为家庭区域。工作区(工作区)允许通过SSH和DHCPV6-CLIENT的预定服务进行通过,以及其他拒绝拒绝DMZ(也称为非军事区域),该服务允许SSH预定服务的传递流量。其他拒绝。Block(限制区域)拒绝所有传输流量。Drop(废弃区域)丢弃所有传输流量,并且不会产生包含ICMP的错误响应。检查数据源的源地址:
区域优先级:源地址的区域>源 - 边界区域>站点卡绑定区域>默认区域(只要默认区域规则中没有未经指定区域的网络卡不可用。)
1.防火墙 - 孔子图形(通常仅在生产环境中的字符接口,请勿使用此方法)
2.防火墙-CMD命令行工具(生产环境中没有图形接口,因此只能在命令行中配置)
3.以书面形式进行配置文件。
在命令行中输入“防火墙构成”,并在汽车后弹出图形管理工具。生产环境通常只有字符接口,并且不使用此方法。
常见的防火墙-CMD命令选项:
当未指定该区域时,操作默认区域(可以自定义默认区域,并且修改为公共)
运行时配置:
永久配置:
运行过程中的配置实时不会中断现有的连接。重新启动后的lost。
- Get-Default-Zone:显示当前默认区域
-Set-default-Zone =< zone> :设置默认区域
- 攻击活动区域:显示当前正在使用的区域及其网卡接口
添加添加绑定,修改更改,删除删除
当未指定该区域时,操作默认区域(可以自定义默认区域,并且修改为公共)
防火墙-CMD-List-All-Zones:显示所有区域及其规则
FireWall-CMD-List-All:未指定区域时,请检查默认区域
firewall-cmd-list-all-Zone =工作:在工作区域显示所有规则
显示,添加,在指定区域中删除服务:
将允许服务添加到默认区域:
一次添加多个服务:
添加并删除协议的端口。
添加连续端口:
永久配置不会立即生效。在生效之前,需要重新启动或重新加载。在重新启动服务或重新加载时,现有连接将中断。重新开始后不会丢失,并且永久存在。
例子:
1.永久效果的永久设置,您需要在生效之前重新启动服务或重新加载服务。
2.运行时将配置转换为永久配置
同时,将HTTPD和HTTPS服务添加到默认区域中,并将其设置为永久效果。
配置当前运行并编写规则配置文件以使其永久配置。
设置SNAT策略:
设置DNAT策略:
如果您拒绝在某个地址访问所有服务,则可以通过块区域(或绑定到下降区域)将此源地址绑定到块和下降区域。但是,如果您拒绝此源地址以访问单个服务,您必须通过丰富的规则实现它。
例如,有一个192.168.89.10的地址,只想拒绝使用SSH服务,其他所有内容都已发布。