Centos 7防火牆基礎——理論篇
理論結構:
- Firewalld概述
- Firewalld和iptables的關係
- Firewalld網絡區域
- Firewalld防火牆的配置方法
Firewalld概述
支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具
支持IPV4、IPV6防火牆設置以及以太網橋
支持服務或應用程序直接添加防火牆規則接口
擁有兩種不同的配置模式
運行時配置
永久配置
Firewalld和iptables的關係
netfilter
位於Linux內核的過濾的工具;
被稱爲Linux防火牆的“內核態”
Firewalld/iptables
Centos 7中默認管理防火牆規則的工具;
被稱爲Linux防火牆的“用戶態”
Firewalld和iptables的區別
| Firwalld | Iptables | |
|---|---|---|
| 配置文件 | /usr/lib/firewalld/、/etc/firewalld/ | /etc/sysconfig/iptables |
| 對規則的修改 | 不要全部刷新策略、不丟失現行連接 | 策略全部刷新、丟失連接 |
| 類型 | 動態防火牆 | 靜態防火牆 |
Firewalld網絡區域
全部相關區域介紹:
| 區域 | 描述 |
|---|---|
| drop(丟棄) | 任何接收的網絡數據包都被丟棄,沒有任何回覆。僅能有發送出去的網絡連接 |
| block(限制) | 任何接收的網絡連接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕 |
| public(公共)——默認 | 在公共區域內使用,不能相信網絡內的其他計算機不會對您的計算機造成危害,只能接收經過選取的連接 |
| external(外部) | 特別是爲路由器啓用了僞裝功能的外部網。您不能信任來自網絡的其他計算,不能相信他們不會對您的計算機造成危害,只能接收經過選擇的連接 |
| dmz(非軍事區) | 用於您的非軍事區內的電腦,此區域內可公開訪問,可以有限的進入您的內部網絡,僅僅接收經過選擇的連接 |
| work(工作) | 用於工作區域。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接 |
| home(家庭) | 用於家庭網絡。您可以基本相信網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接 |
| internal(內部) | 用於內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接 |
| trusted(信任) | 可接受所有的網絡連接 |
NAT 一對一進行私網地址轉公網地址
PAT 多對一進行私網地址轉公網地址(以端口進行區分)
好處:有效節約IP地址資源
Firewalld防火牆配置方法
檢查數據來源地址:
1.若源地址關聯到特定的區域,則執行該區域所制定的規則
2.若源地址未關聯到特定區域,則使用傳入網絡接口的區域並執行該區域所制定的規則
3.若網絡接口未關聯到特定的區域,則使用默認區域所指定的規則**
運行時配置:
1.實時生效,並持續至Firewalld重新啓動或重新加載配置
2.不中斷現有鏈接
3.不能修改服務配置
永久配置:
1.不立即生效,除非Firewalld重新啓動或重新加載配置
2.終端現有連接
3.可以修改服務配置
Firewalld中的配置文件
Firewalld會優先使用/etc/firewalld/中的配置,如果該目錄不存在配置文件則通過/usr/lib/firewalld/目錄進行拷貝。
/etc/firewalld/ : 用戶自定義配置文件。
/usr/lib/firewalld/ : 默認配置文件,最好不要進行修改。若想恢復至默認配置,可直接刪除/etc/firewalld/中的配置。