Firewalld 防火墙基础

Firewalld 防火墙基础

• [Firewalld 概述](#Firewalld 概述)
• • Firewalld网络区域
  • [Firewalld 防火墙的配置方法](#Firewalld 防火墙的配置方法)
  • • [1.3.1 firewall-config 图形工具](#1.3.1 firewall-config 图形工具)
    • [firewall-cmd 命令](#firewall-cmd 命令)

Firewalld 概述

1. firewalld 简介

frewalld 的作用是为包过滤机制提供匹配规则(或称为策略)，通过各种不同的规则，告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥，并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。

2. firewalld和iptables 的关系

firewald 自身并不具备防火墙的功能，而是和 iptables 一样需要通过内核的 netfilter 米实现。也就是说 firewalld 和 iptables 一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的 netfilter，只不过 frewalld 和iptables 的结构以及使用方法不一样罢了。系统提供了图形化的配置工具 firewall-config、system-config-firewal,提供命令行客户端 firewall-cmd,用于配置 firewalld 永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter 通信。firewalld 和 iptables 的逻辑关系如图 1.1所示。

从图1.1中可以看到，iptables服务和Firewalld都是通过iptablees命令与内核的netfilter进行交互的.在centos 7中，我们仍然可以使用iptablees命令来管理我们的防火墙.唯一不同的是当我们重启服务器或重启Firewalld时，iptablees命令管理的规则不会自动加载，反而会被Firewalld的规则代替

3. firewalld与iptables service 的区别

》iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld 将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld! 中的各种 XML 文件里。

》使用 iptables service 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则,然而使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld 可以在运行时间内,改变设置而不丢失现行连接。

Firewalld网络区域

将所有的网络数据流量划分为多个区域，从而简化防火墙管理.根据数据包的源IP地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则.对于进入系统的数据包，首先检查的就是其源地址.

》若源地址关联到特定的区域，则执行该区域所制定的规则.

》若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所制定的规则.

》若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则.

默认区域不是单独的区域，而是指向系统上定义的某个其他区域.默认情况下，默认区域是Public，但是系统管理员可以更改默认区域.以上匹配规则，按照先后顺序，第一个匹配的规则胜出.

在每个区域中都可以配置其要打开或者关闭的一系列服务或端口，Firewalld的每个预定义的区域都设置了默认打开的服务.表1-1中列出了frewalld的预定义区域说明

Firewalld 防火墙的配置方法

在 CentOS7 系统中，可以使用三种方式配置 firewalld 防火墙:

》firewall-config 图形工具。

》firewall-cmd 命令行工具。

》/etc/firewalld/中的配置文件。

通常情况下，不建议直接编辑配置文件。所以本章我们只介绍 firewall-config 图形工具与 frewall-cmd 命令行工具的配置方法。

1.3.1 firewall-config 图形工具

firewall-config 图形化配置工具支持防火墙所有的特性，系统管理员可以通过它来改变系统或用户策略。通过 firewall-confg 图形化配置工具，可以实现配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等功能。在 CentOS7 系统中单击"应用程序"中的"杂项"，选择"防火墙"即可打开如图 1.2 所示的 firewall-config 工作界面，或者直接在终端中输入 firewall-config 命令也可以打开此界面。

firewall-config 工作界面主要分为三个部分，上面是主菜单，中间是配置选项，下面是区域、服务、IPsets、ICMP 类型、直接配置、锁定白名单设置选项卡。其中，ICMP 类型、直接配置和锁定白名单选项卡只在从"查看"下拉菜单中选择之后才能看见。最底部是状态栏从左到右显示了四个信息，依次是连接状态、默认区域、锁定状态、应急模式。

frewall-confg 主菜单包括四个菜单项:文件、选项、查看、帮助。其中，"选项"菜单是最重要的，主要包括以下几个选项。

》重新加载防火墙:重新加载防火墙规则，当前的永久配置将变成新的运行时配置。例如,所有的当前运行的配置规则如果没有在永久配置中操作，系统重新加载后就会丢失。

》更改连接区域:更改网络连接的所属区域和接口。

》改变默认区域:更改网络连接的默认区域。

》应急模式:表示丢弃所有的数据包。

》锁定:可以对防火墙的配置进行加锁，只允许白名单上的应用程序进行修改。图 1.3 中的"配置"选项包括运行时和永久两种。运行时配置为当前使用的配置规则，永久配置规则在系统或服务重启时生效。在 firewall-config 界面中主要需要了解的是区域、服务、ICMP 等设置的选项卡。

1. "区域"选项卡

"区域"选项卡是一个主要设置的界面。"区域"选项卡下面还包含服务、端口、协议、源端口、伪装等一系列子选项卡。所以说，区域是服务、端口、协议、IP 伪装、ICMP 过滤等组合的意思，同时区域也可以绑定到接口和源地址。

(1) "服务"子选项卡

"服务"子选项卡可以定义区域中哪些服务是可信的，可信的服务可以被绑定到该区域的任意连接、接口和源地址访问，如图1.3所示。

(2)"端口"子选项卡

"端口"子选项卡用于设置允许访问的主机或网络访问的端口范围，如图 1.4 所示。

(3)"协议"子选项卡用于添加所有主机或网络均可访问的协议，如图 1.5 所示。

(4)"源端口"子选项卡可以添加额外的源端口或范围，连接到这台主机的所有主机或网络均可访问，如图1.6所示。设置源端口时，可以设置某一个端口号或者是端口范围，同时还需要选择对应的 TCP 或 UDP 协议。

(5)"伪装"子选项卡用于把私有网络地址映射到公有的 IP 地址，该功能目前只适用于IPv4，如图 1.7 所示。

(6)"端口转发"子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口，如图 1.8所示。在设置端口转发时同样需要选择协议类型，且该功能也仅支持IPv4。

(7)"ICMP 过滤器"子选项卡:ICMP 主要用于在联网的计算机间发送出错信息，但也发送类似 ping 请求以及回应等信息。在"ICMP 过滤器"子选项卡中可以选择应该被拒绝的ICMP 类型，其他所有的ICMP 类型则被允许通过防火墙。默认设置是没有限制，如图 1.9所示。

"区域"选项卡中除了上文中所描述的子选项卡，还有其他的子选项卡。这里仅介绍了常用的，其他的就不多做介绍了。

2. "服务"选项卡

服务是端口、协议、模块和目标地址的组合，并且"服务"选项卡只能在"永久"配置视图中修改，"运行时"配置中的服务是不可以修改的。与"区域"选项卡不同，"服务"选项卡仅包含五个子选项卡。其中，"端口""协议""源端口"这些子选项卡的作用及配置方法与"区域"选项卡中的相同。

"模块"子选项卡是用于设置网络过滤的辅助模块，如图 1.10 所示。

"目标地址"子选项卡:如果某服务指定了目标地址，服务项目仅限于目标地址和类型，如果 IPv4 与 IPv6 均为空，则没有限制，如图 1.11 所示。

3. 改变防火墙设置

要立刻改变现在的防火墙设置，须确定当前视图设定在运行时。或者，从下拉菜单中选择永久(Permanent)如见图 1.12所示，编辑下次启动系统或者防火墙重新加载时执行的设定。

在运行时(Runtime)模式下更改防火墙的设定时，一旦您启动或者清除连接服务器的复选框，选择立即生效。在 Permanent模式下更改防火墙的设定，仅仅在重新加载防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标,或者点击 选项菜单,选择 重新加载防火墙。

4. 修改默认分区

要设定一个将要被分配新接口的分区作为默认值，则启动firewall-config，从菜单栏选择选项卡，由下拉菜单中选择修改默认区域，出现默认区域窗口如图1.13所示。从给出的列表中选择您需要用的分区作为默认分区，点击确定按钮即可。

firewall-cmd 命令

1. firewalld 服务管理

在安装 CentOS7 系统时，会自动安装 firewalld 和图形化工具firewall-config。执行以下命令可以启动 frewalld 并设置为开机自启动状态。

如果 firewalld 正在运行，通过 systemctl status firewalld 或 frewall-cmd 命令可以查看其运行状态。

或

如果想要禁用 frewalld，执行以下命令即可实现。

2. 获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型，具体的查看命令如下所示。

firewall-cmd -get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。

》destination-unreachable:目的地址不可达。

》echo-reply:应等回应(pong)

》parameter-problem:参数问题。

》redirect:重新定向。

》router-advertisement:路由器通告

》router-solicitation:路由器征寻。

》source-quench:源端抑制。

》time-exceeded:超时。

》timestamp-reply:时间戳应答回应,

》timestamp-request:时间戳请求。

3. 区域管理

使用 firewall-cmd 命令可以实现获取和管理区域，为指定区域绑定网络接口等功能。表1-2 中列出了 firewall-cmd 命令的区域管理选项说明。

具体操作如下所示。

(1)显示当前系统中的默认区域。

(2)显示默认区域的所有规则。

(3)显示网络接口 ens33 对应区域。

(4)将网络接口 ens33 对应区域更改为 internal 区域.

(5)显示所有激活区域。

4. 服务管理

为了方便管理，firewalld 预先定义了很多服务，存放在 /usr/lib/firewalld/services/ 目录中，服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml，每个文件对应一项具体的网络服务，如 ssh 服务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了70 多种服务供我们使用，对于每个网络区域，均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将 service 配置文件放置在/etc/firewalld/services/ 目录中。service 配置具有以下优点。

》通过服务名字来管理规则更加人性化。

》通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。

具体操作如下所示。

(1)为默认区域设置允许访问的服务。

(2)为internal 区域设置允许访问的服务。

5. 端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作即可实现在 internal 区域打开 443/TCP 端口。

若想实现在 internal 区域禁止 443/TCP 端口访问，可执行以下命令。

6. 两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置，在系统或firewalld 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。

》--reload:重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。

》--permanent:带有此选项的命令用于设置永久性规则，这些规则只有在重新启动firewalld 或重新加载防火墙规则时才会生效:若不带有此选项，表示用于设置运行时规则。

》--runtime-to-permanent:将当前的运行时配置写入规则配置文件中，使之成为永久性配置。