【CentOS】中的Firewalld：全面介绍与实战应用（上）

🐇明明跟你说过：个人主页

🏅个人专栏：《Linux ：从菜鸟到飞鸟的逆袭》🏅

🔖行路有良友，便是天堂🔖

目录

一、引言

[1、iptables 时代](#1、iptables 时代)

[2、firewalld 时代](#2、firewalld 时代)

[3、 从 iptables 迁移到 firewalld](#3、 从 iptables 迁移到 firewalld)

二、Firewalld基础概念

1、什么是Firewalld

[2、Firewalld 的特性](#2、Firewalld 的特性)

3、Firewalld与iptables的区别

[1. 设计理念和管理方式](#1. 设计理念和管理方式)

[2. 使用方式](#2. 使用方式)

[3. 规则管理和灵活性](#3. 规则管理和灵活性)

[4. 性能和适用场景](#4. 性能和适用场景)

三、安装与配置Firewalld

1、Firewalld的安装（对于未预装的系统）

四、Firewalld的区域（Zones）管理

1、区域的概念与作用

2、如何查看当前区域设置

3、更改默认区域与接口绑定

---

一、引言

在 CentOS 系统中，防火墙管理工具经历了从 iptables 到 firewalld 的演变。了解这一变迁过程有助于更好地理解和使用当前的防火墙管理工具。

1、iptables 时代

简介

• iptables 是 Linux 内核中 Netfilter 项目的用户空间实用程序，用于配置 IPv4 数据包过滤规则。它允许用户定义规则以控制网络流量的进出。

功能

1. **数据包过滤：**根据源地址、目标地址、端口等条件过滤数据包。
2. **NAT：**网络地址转换，主要用于互联网共享。
3. **状态检测：**跟踪连接状态，允许基于状态的规则。
4. **丰富的规则集：**支持复杂的规则和链结构，允许用户自定义网络流量控制。

配置

iptables 规则通过命令行工具 iptables 进行管理，通常规则配置会保存在 /etc/sysconfig/iptables 文件中。重启系统时，可以通过这个文件加载规则。

2、firewalld 时代

简介

• firewalld 是一个动态管理防火墙的守护进程，提供基于区域的网络流量管理。它是在 CentOS 7 及以后版本中引入的，旨在简化防火墙管理，提供更灵活和动态的控制。

功能

1. **动态管理：**支持在不中断现有连接的情况下动态更改规则。
2. **区域概念：**基于信任级别定义不同的区域，每个区域有不同的规则。
3. **服务管理：**可以通过服务名称而不是端口号来配置规则。
4. **接口绑定：**可以将网络接口绑定到特定的区域。
5. **丰富的接口：**提供命令行工具 firewall-cmd 和图形界面工具（如 firewall-config）进行管理。

3、 从 iptables 迁移到 firewalld

迁移原因

1. **简化管理：**firewalld 提供更高级的抽象，简化了复杂规则的管理。
2. **动态配置：**firewalld 可以在不中断现有连接的情况下应用新的规则。
3. **区域和服务管理：**通过区域和服务的概念，提供了更直观的规则管理方式。

迁移过程

1. **学习 firewalld：**理解区域、服务和接口的概念。
2. **转换规则：**将 iptables 规则翻译成 firewalld 规则。
3. **测试和验证：**在迁移过程中测试新规则以确保网络服务不受影响。
4. **逐步切换：**可以在测试环境中逐步切换，验证一切正常后再在生产环境中切换。

二、Firewalld基础概念

1、什么是Firewalld

firewalld 是一个用于 Linux 系统的动态防火墙管理工具，旨在简化和增强防火墙的配置和管理。它在 CentOS 7 及以后版本中作为默认防火墙管理工具，取代了传统的 iptables。

2、Firewalld 的特性

动态管理

• firewalld支持在不中断现有连接的情况下动态地更改防火墙规则。这意味着可以在系统运行时即时应用新的规则，无需重启防火墙服务。

区域概念

firewalld 引入了区域的概念，每个区域代表一组不同的信任级别，可以绑定到一个或多个网络接口。常见的区域包括：

1. **public：**适用于公共网络，信任较低，只开放少量服务。
2. **home：**适用于家庭网络，信任较高，开放更多服务。
3. **work：**适用于工作网络，信任度介于家庭和公共网络之间。
4. **internal：**适用于内部网络，信任度最高，开放所有内部服务。

3、Firewalld与iptables的区别

firewalld 和 iptables 是两种用于管理 Linux 防火墙的工具，它们在设计理念、功能和使用方式上有显著的区别。

1. 设计理念和管理方式

iptables

1. **静态规则：**iptables 使用静态规则集，所有规则在启动时加载到内核并在运行时保持不变。任何更改都需要重新应用整个规则集，这可能导致短暂的网络中断。
2. **命令行界面：**通过命令行界面手动配置规则，每条规则需要单独添加和管理。
3. **链和表：**iptables 使用链（chain）和表（table）的概念，分别为 filter、nat、mangle 和 raw 表，每个表包含多个链，如 INPUT、OUTPUT、FORWARD 等。

firewalld

1. **动态规则：**firewalld 支持动态添加、修改和删除规则，而无需重启防火墙服务或重新应用整个规则集，因此不会中断现有连接。
2. **区域概念：**引入区域（zone）的概念，每个区域表示一组防火墙规则，可以根据网络接口或源地址分配到不同的区域。
3. **服务管理：**允许通过服务名称来配置规则，而不仅仅是端口号，使配置更直观和易于管理。
4. **图形界面和命令行工具：**除了命令行工具 firewall-cmd，还提供图形界面工具 firewall-config，方便用户管理防火墙。

2. 使用方式

iptables

1. **手动配置：**需要手动编写和维护防火墙规则，规则语法相对复杂。
2. **配置文件：**可以通过脚本或配置文件（如 /etc/sysconfig/iptables）来加载规则集，但需要重启服务或手动重新加载。

firewalld

1. **区域和服务配置：**通过区域和服务进行高层次管理，配置更加简单。
2. **动态调整：**支持即时生效的临时规则和持久化的永久规则，不会中断现有连接。

3. 规则管理和灵活性

iptables

1. **细粒度控制：**提供对每个数据包的细粒度控制，适合高级用户和复杂的防火墙配置需求。
2. **固定规则集：**一旦规则集加载到内核中，任何更改都需要重新加载整个规则集。

firewalld

1. **灵活管理：**支持动态调整规则，适合需要频繁更改防火墙规则的环境。
2. **高层抽象：**通过区域和服务提供高层抽象，简化配置和管理。

4. 性能和适用场景

iptables

1. **高性能：**直接操作内核的 netfilter 框架，性能较高，适合高流量环境。
2. **单一节点：**适用于单个节点或简单网络环境的防火墙管理。

firewalld

1. **现代网络环境：**适应现代动态网络环境，特别是云计算和虚拟化环境，提供更好的灵活性和易用性。
2. **综合管理：**适合需要综合管理多个网络接口和复杂网络配置的场景。

三、安装与配置Firewalld

1、Firewalld的安装（对于未预装的系统）

1. 更新系统

首先，确保系统的软件包是最新的。运行以下命令更新系统：

sudo yum update -y

2. 安装 Firewalld

使用 yum 包管理器安装 firewalld：

sudo yum install firewalld -y

3. 启动和启用 Firewalld

安装完成后，启动 firewalld 服务并设置开机自启动：

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. 验证 Firewalld 状态

确保 firewalld 正常运行，可以使用以下命令检查其状态：

sudo systemctl status firewalld

如果 firewalld 正在运行，应该会看到类似以下的输出：

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2024-11-07 12:34:56 UTC; 5min ago
     Docs: man:firewalld(1)

四、Firewalld的区域（Zones）管理

1、区域的概念与作用

firewalld 使用区域（Zones）来定义不同网络接口的安全性和规则。每个区域都有一组预定义的规则，这些规则决定了哪些流量允许进出系统。

区域的概念

1. **区域（Zone）：**区域是防火墙规则的集合。每个区域都有不同的安全级别，适用于特定的网络接口或连接。
2. **默认区域：**系统默认的区域。所有未指定区域的网络接口或连接会使用默认区域的规则。
3. **动态和持久配置：**firewalld 支持动态配置（即时生效但重启后失效）和持久配置（重启后依然生效）。

常见的预定义区域

firewalld 提供了几种预定义的区域，每种区域适用于不同的安全场景：

1. **trusted：**信任所有网络流量。所有传入和传出流量都允许。
2. **home：**适用于家庭网络，允许常见的网络服务（如共享文件和打印机）。
3. **work：**适用于工作网络，与 home 类似，但更加安全。
4. **public：**适用于公共网络（如咖啡店的 Wi-Fi），仅允许最小的传入流量。
5. **block：**阻止所有传入流量，只有出站流量允许。
6. **dmz：**适用于受保护的公开访问区，允许外部访问特定服务。
7. **external：**适用于外部网络，使用网络地址转换（NAT）保护内部网络。
8. **internal：**适用于内部网络，信任内部网络的流量。
9. **drop：**丢弃所有传入流量，不返回任何响应，仅允许出站流量。

2、如何查看当前区域设置

查看当前区域设置，可以通过以下 firewalld 命令来实现。这些命令允许查看当前活跃的区域、特定接口的区域分配以及默认区域设置。

查看当前活动的区域和接口

查看当前活动的区域以及每个区域内包含的网络接口：

sudo firewall-cmd --get-active-zones

该命令会输出类似如下的信息：

public
  interfaces: eth0
home
  interfaces: eth1

这表示 eth0 接口被分配到 public 区域，而 eth1 接口被分配到 home 区域。

查看特定区域的详细信息

查看特定区域的详细信息，包括该区域的所有规则和设置：

sudo firewall-cmd --zone=public --list-all

该命令会输出类似如下的信息：

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

3、更改默认区域与接口绑定

更改默认区域

更改默认区域为 home 区域：

sudo firewall-cmd --set-default-zone=home

验证默认区域是否已更改：

sudo firewall-cmd --get-default-zone

将接口绑定到特定区域

假设有一个网络接口 eth0，希望将其绑定到 home 区域：

临时更改接口的区域绑定

将 eth0 接口临时分配到 home 区域（重启后更改会失效）：

sudo firewall-cmd --zone=home --change-interface=eth0

验证更改：

sudo firewall-cmd --get-active-zones

应该能看到类似如下的输出：

home
  interfaces: eth0

永久更改接口的区域绑定

将 eth0 接口永久分配到 home 区域（重启后更改依然有效）：

sudo firewall-cmd --zone=home --add-interface=eth0 --permanent

为了使永久更改生效，需要重新加载 firewalld：

sudo firewall-cmd --reload

再次验证更改：

sudo firewall-cmd --get-active-zones

应该能看到类似如下的输出：

home
  interfaces: eth0

💕💕💕每一次的分享都是一次成长的旅程，感谢您的陪伴和关注。希望这些关于Linux的文章能陪伴您走过技术的一段旅程，共同见证成长和进步！😺😺😺

🧨🧨🧨让我们一起在技术的海洋中探索前行，共同书写美好的未来！！！