“Shell“firewall防火墙

news2024/12/29 14:52:24

文章目录

  • 一.Firewalld防火墙
        • 1.1firewalld概述
        • 1.2Firewalld和iptables的关系
        • 1.3Firewalld和iptables的区别
  • 二.Firewalld网络区域
        • 2.1区域介绍:
        • 2.2firewalld 区域的概念:
        • 2.3Firewalld数据处理流程
        • 2.4Firewalld检查数据包的源地址的规则:
  • 三.Firewalld防火墙的配置方法
        • 3.1常用的firewall-cmd命令选项

一.Firewalld防火墙

1.1firewalld概述

firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firevalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统 (属于内核态)包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
它支持工IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥右两种配置模式,运行时配置与永久配置。

  • 支持网络区域所定义的网络链接以及接口安全等级的动态方火培管理工具
  • 支持IPv4、IPv6防火挡设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式
    运行时配置
    永久配置

1.2Firewalld和iptables的关系

netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

Firewalld/iptables:

  • CentOS7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态
    在这里插入图片描述

1.3Firewalld和iptables的区别

Firewalldiptables
配置文件/usr/lib/firewalld/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失连接
防火墙类型动态防火墙静态防火墙

区别1:

  • iptables主要是基于接口,来设置规则,从而判断网络的安全性。
  • firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似

区别2:

  • iptables 在 /etc/sysconfig/iptables 中储存配置,
  • firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /ugr/lib/firewalld/(默认的配置文件) 中的各种 XML文件里。

区别3:

  • 使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则
  • 使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内, 改变设置面不丢失现行连接

区别4:

  • iptables 防火墙类型为静态防火墙
  • firewalld 防火墙类型为动态防火墙

二.Firewalld网络区域

2.1区域介绍:

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要
    关联源地址或接口
  • 默认情况下,public区域是默认区域,包含所有接口 (网卡)
    在这里插入图片描述
    如数据包的源地址与区域绑定,则此数据包不管从哪个网卡传入都使用改区域的规则过滤数据包
    如果数据包的源地址未与区域绑定,则此数据从哪个网卡传入则使用该网卡绑定的区域规则过滤数据包

2.2firewalld 区域的概念:

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

在这里插入图片描述

firewa11d防火墙顶定义了9个区域:

区域名称介绍
trusted(信任区域)允许所有的传入流量
public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
external(外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
home(家庭区域允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal(内部区域)默认值时与home区域相同
work(工作区域)允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
dmz(隔离区域也称为非军事区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝
block(限制区域)拒绝所有传入流量
drop(丢弃区域)丢弃所有传入流量,并且不产生包含 ICMP的错误响应

最终一个区域的安全程度是取决于管理员在此区域中设置的规则;
区域如同进入主机的安全门,每个区域都局域不同限制程度的规则。只会允许符号规则的流量传入;
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口;
默认情况下,pubilc区域是默认区域,包含所有接口(网卡)

2.3Firewalld数据处理流程

  • 检查数据来源的源地址
  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

2.4Firewalld检查数据包的源地址的规则:

1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行区域所制定的规则;
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所定制的规则;
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所定制的规则;

  • 先检查传入数据包的源地址,若源地址与特定区域绑定,则使用该区域的规则过滤数据包
  • 若源地址与特定区域没有绑定,且数据包传入网卡与特定区域绑定,则使用绑定网卡的区域的规则过滤数据包
  • 若没有区域绑定网卡,则使用默认区域的规则过滤数据包

三.Firewalld防火墙的配置方法

1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。

systemctl start firewalld.service

3.1常用的firewall-cmd命令选项

(1)查看当前默认区域

firewall-cmd --get-default-zone

在这里插入图片描述
(2)修改默认区域

firewall-cmd --set-default-zone=home

在这里插入图片描述
(3)显示当前正在使用的区域的对应网卡

firewall-cmd --get-active-zone

在这里插入图片描述

(4)显示所有可用的区域

firewall-cmd --get-zone
firewall-cmd --get-zones

在这里插入图片描述

(5)显示指定接口绑定的区域

firewall-cmd --get-zone-of-interface=ens33

在这里插入图片描述

(6)修改区域所对应的网卡

firewall-cmd --change-interface=ens33 --zone=home

在这里插入图片描述

(7)为指定源地址绑定区域

firewall-cmd --add-source=2.2.2.2 --zone=work

在这里插入图片描述

(8)修改指定源地址绑定区域

firewall-cmd --change-source=2.2.2.2 --zone=internal

在这里插入图片描述

(9)显示所有区域及其规则

firewall-cmd --list-all-zones

在这里插入图片描述
注意:一个区域可以关联多个网卡或源地址在这里插入图片描述
注意:一个网卡只可以一个区域
在这里插入图片描述

(10)显示所有指定区域的所有规则(不指定仅对默认区域操作

 firewall-cmd --get-active-zones

在这里插入图片描述

(11)显示指定区域允许访问的所有服务

firewall-cmd --list-services --zone=work

在这里插入图片描述

(12)指定区域添加服务

 firewall-cmd --list-services --zone=home

在这里插入图片描述

(13)指定区域移除服务

firewall-cmd --remove-service=http --zone=home

在这里插入图片描述

(14)显示指定区域允许访问的所有端口号

firewall-cmd --list-ports --zone=home

在这里插入图片描述

(15)添加指定区域允许访问的端口号

firewall-cmd --add-port=80/tcp

在这里插入图片描述

(16)移除指定区域允许访问的端口号

firewall-cmd --remove-port=80/tcp --zone=public

在这里插入图片描述

(17)显示所有icmp类型

firewall-cmd --get-icmptypes

在这里插入图片描述

(18)为指定区域设置拒绝访问的某项 ICMP 类型

firewall-cmd --add-icmp-block=echo-request

在这里插入图片描述

(19)查看默认区域内允许访问的所有服务

firewall-cmd --list-services

在这里插入图片描述

(20)添加多个服务到指定区域

firewall-cmd --add-service=http --add-service=ftp

在这里插入图片描述

(21)删除指定区域的多个服务

 firewall-cmd --zone=public --remove-service={http,ftp}     //批量需要加上{ }

在这里插入图片描述

(22)添加服务到默认区域,设置成永久生效

方法1:
在这里插入图片描述

方法2:
在这里插入图片描述

方法3:
在这里插入图片描述

(23)允许某服务的多个端口添加到指定区域

允许某服务的多个端口添加到指定区域

在这里插入图片描述

(24)设置地址转换

设置snat

firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.174.0/24 -j SNAT --to-source 12.0.0.1

在这里插入图片描述
设置dnat

firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.174.11

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/555375.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

05 Android开机启动之SystemServer

Android开机启动之SystemServer(SS) 一、梳理SystemServer启动流程 从上面整个Android开机启动思维导图(android 5.0的启动组成图)中可以看到: SystemServer是从Zygote中启动的。 开机->bootloader->kernel->init->zygote->SystemServer 二、SystemServe…

【嵌入式烧录/刷写文件】-1.5-Fill填充Motorola S-record(S19/SREC/mot/SX)文件

案例背景(共8页精讲):该篇将告诉你,如何对一个S19文件进行填充: 对“起始地址”和“结束地址”内的非连续的Block块,进行填充;自定义填充范围。 目录 1 为什么要“Fill填充” 2 使用Vector HexView工具“填充”S19…

阿里,变“小”了,也变强了

文 | 螳螂观察 作者 | 青月 小公司总想做大,但在如今快速变换的科技浪潮下,一些大企业却想“变小”。 3月28日,阿里巴巴宣布启动“16N”组织变革,这意味着未来具备条件的业务集团和业务公司,都可以独立融资和独立上…

一文带你了解MySQL之InnoDB 统计数据是如何收集的

前言 本文章收录在MySQL性能优化原理实战专栏,点击此处查看更多优质内容。 我们前边唠叨查询成本的时候经常用到一些统计数据,比如通过show table status可以看到关于表的统计数据,通过show index可以看到关于索引的统计数据,那…

分享国内可用的免费ChatGPT网站_测评by杂草小生

参考的文章1:ChatGPT套壳网站汇总-5月21日更新_QQVQQ...的博客-CSDN博客 参考文章2:分享一个国内可用的免费ChatGPT网站_Aaron_Plus的博客-CSDN博客 ChatGPT是基于自然语言处理技术的聊天机器人,可以进行对话和提供相关信息。由于chatGPT不…

导入/导出 Postcat 格式文件,打通数据不再难

导入 Postcat 插件。 使用 导入功能有多个入口,你可以在 API 分组处点击加号导入 API: 也可以在点击设置,然后选择导入选项 导出 Postcat 插件 支持导出 Postcat JSON 文件。 使用 进入空间页面,可以看到导出功能,点…

XXL-SSO简要说明

一、介绍 XXL-SSO 是一个分布式单点登录框架。只需要登录一次就可以访问所有相互信任的应用系统。 拥有”轻量级、分布式、跨域、CookieToken均支持、WebAPP均支持”等特性。现已开放源代码,开箱即用。 官方文档 二、集成 2.1、源码下载 下载地址 2.2、代码结构…

剪辑中如何保持画面连贯性,视频剪辑用什么软件比较好?

随着各种视频软件和平台的流行,越来越多的人更喜欢观看视频,还有很多人出于兴趣和爱好,想要制作自己的视频,那要如何剪辑才能制作更好的视频呢?有什么比较靠谱的视频剪辑软件呢? 视频剪辑中保持画面连贯性…

Redis分布式锁及Redisson的实现原理

Redis分布式锁 一。什么是分布式锁 在讨论分布式锁之前我们回顾一下一些单机锁,比如synchronized、Lock 等 锁的基本特性: 1.互斥性:同一时刻只能有一个节点访问共享资源,比如一个代码块,或者同一个订单同一时刻只…

python:将遥感数据使用matplotlib库绘制成图片

作者:CSDN @ _养乐多_ 本文将介绍使用matplotlib库绘制遥感数据成图片的代码。 文章目录 一、示例代码二、更换颜色条三、自定义颜色条四、分段离散颜色设置一、示例代码 要加载本地的TIFF数据并绘制图像,你可以使用Python中的rasterio库和matplotlib库。以下是一个示例代码…

【UE4】从零开始制作战斗机(中:飞机操控逻辑)

上一篇: 【UE4】从零开始制作战斗机(上:准备模型、定义函数和变量)_Zhichao_97的博客-CSDN博客 效果 步骤 1. 打开“BP_Jet”,在事件图表中添加如下节点 由于我们希望飞机一开始就是在空中飞行,所以一开…

数字孪生智慧路灯可视化系统 区域控制节能增效

前言 智慧灯杆是智慧城市建设的重要组成部分,可以完成照明、公安、市政、气象、环保、通信等行业数据信息的采集、发布和传输。同时,作为5g时代车联网、云网、通信网络建设的重要组成部分,智慧灯杆也将得到广泛应用。 建设背景 城市路灯存…

JVM常用参数和命令行工具

JVM参数类型 一:标准参数 - 所有的JVM实现都必须实现这些参数的功能,而且向后兼容 例: -help-server -client-version -showversion-cp -classpath 二:非标准参数 -X 非标准参数(-X)&#xff1a…

opencv缺陷检测

随着自动化生产设备的普及,工业机器人在各行各业的应用也越来越广泛,越来越多的生产线由自动化设备取代人工操作,实现自动化生产。在机器人分拣过程中,机器人不仅可以将不同规格和质量的产品准确地放入指定的托盘中,而…

MySQL 事物(w字)

目录 事物 首先我们来看一个简单的问题 什么是事务 为什么会出现事务 事务的版本支持 事务提交方式 事务常见操作方式 设置隔离级别 事物操作 事物结论 事务隔离级别 理解隔离性 隔离级别 查看与设置隔离性 注意可重复读【Repeatable Read】的可能问题&#xff…

Spring事务管理 -- Spring入门保姆级教程(五)

文章目录 前言六、Spring事务1.Spring事务简介2.入门案例--模拟银行间转账业务3.开启Spring事务的一般步骤4.Spring事务角色5.spring事务属性--rollbackfor6.入门案例进阶--转账业务追加日志7. Spring事务属性--事务传播行为 总结 前言 为了巩固所学的知识,作者尝试…

ZIP/RAR压缩包加密原理和解密方法

ZIP/RAR压缩包加密原理和解密方法 1、压缩包的概念 一般我们看到的压缩格式有.rar,.zip,等等有许多格式但主要压缩的作用就是让某一个文件占用空间小点。比如原来是50MB,可以压缩到30多MB。 压缩包的算法: 有许多不同的压缩格式例如&#…

【MySQL】-【数据库的设计规范】

文章目录 为什么需要数据库设计范式范式简介范式都包括哪些键和相关属性的概念 为什么需要数据库设计 范式 范式简介 在关系型数据库中,关于数据表设计的基本原则、规则就称为范式。可以理解为,一张数据表的设计结构需要满足的某种设计标准的 级别 。要…

第二届欧亚计算机科学与信息技术前沿国际会议

会议简介 Brief Introduction 2023年第二届欧亚计算机与信息技术前沿国际会议(FCSIT 2023) 会议时间:2023年9月15 -17日 召开地点:英国牛津 大会官网:www.ecfcsit.org 2023年计算机与信息技术前沿国际会议(FCSIT 2023)将围绕“计算机与信息技…

单词长度统计-列表

输入一段英文计算每个单词长度,统计不含非英文字符,列表输出。 【学习的细节是欢悦的历程】 Python 官网:https://www.python.org/ Free:大咖免费“圣经”教程《 python 完全自学教程》,不仅仅是基础那么简单…… 地址…