一:Firewa11d防火墙概述
1:Firewa11d简介
firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方健量组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙
管理工具。它支持IPv4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
2:firwa11d和iptables的关系
firewalld自身并不具备防火墙的功能,而是和iptables样需要通过内核的netfilter 来实现。也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过Firewalld 和 iptables的结构以及使用方法不一样罢了。
系统提供了图形化的配置具firewa11-config、system-config-firewal,提供命令行客户端firewall-cmd,用于配置firewalld 永久性或非永久性运行时间的改变:它依次用iptables工具与执行数据包筛选的内核中的 Netfilter 通信。firewalld和iptables 的逻辑关系
从图中可以看到,iptables 服务和Firewa11d 都是通过iptables命令与内核的netfilter进行交互的。在Euler 系统中,我侮仍然可以使用iptables命来管理我们的防火墙。唯一不同的是当我们重启服务器或重启firewalld时,iptables命令管理的规则不会自动加载,反而会被firewalld的规则代替。
3:firewalld 与 iptables service 的区别
iptables service 在/etc/sysconfig/iptables 中储存配置,而firewalld 将配置储存在/usr/lib/firewalld/和/etc/firewalld/中的各种ML文件里。
使用iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables
里读取所有新的规则,然而使用firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
二:Firewalld网络区域
firewalld 将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源IP 地址或传入网络接口等条件,将数据流量转入相应区城的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
若源地址关联到特定的区域,则执行该区域所制定的规则。
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则。
默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是public,但是系统管理员可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出。
在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域
都设置了默认打开的服务。下表中列出了firewalld的预定义区域说明。
| 区域 | 默认策略规则 |
| trusted | 允许所有的数据包 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhorvo-elient服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流人的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client 与dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流人的流量,除非与流出的流量相关;而如果流量与 ssh、dhcpv6-client 服务相关,则允许流量 |
| external | 拒绝流人的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流人的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流人的流量,除非与流出的流量相关 |
| drop | 拒绝流人的流量,除非与流出的流量相关 |
三:Fierwa11d防火墙图形配置方法
在 Euler 系统中,可以使用三种方式配置firewalld 防火墙:
firewall-config 图形工具。
firewall-cmd 命令行工具。
/etc/firewalld/中的配置文件。
通常情况下,不建议直接编辑配置文件。所以本章我们只介绍firewall-config图形工具与
firewall-cmd 命令行工具的配置方法。
firewall-config 图形化配置工具支持防火墙所有的特性,系统管理员可通过它来改变系统或用
户策略。通过firewall-config 图形化配置工具,可以实现配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP过滤器等功能。
如果你的 OpenEuler 操作系统没有桌面环境,需要先安装桌面:
dnf insta11-y gnome-she11 gdm gnome-session
另外还需要安装firewalld防火墙的图形管理工具,安装命令如下:
dnf -y instali firewall-config
进入Euler的桌面环境,点击左上角的“活动”,并选择“显示应用”,会看到firewalld图形管
理工具,单击打开即可。
firewall-config 工作界面主要分为手个部分,上面是或菜单,中间是配置选项,下面是区域、服
务、IPsets、ICMP类型、直接配置、领定自名单设置选项卡。其中,工CMP类型、直接配置和锁定白名单选项卡只在从“查看”下拉菜单中选择之后才能看见,最底部是状态档从左到右显示了四个信息,依次是连接状态、默认区域、锁定状态、应急模式。
firewall-config 主菜单包括四个牌单烦项:文件、选项、查看、帮助。其中,“选项”菜单是最重要的,主要包括以下几个选项。
- 重新加载防火墙:重新加载防火墙规则,当前的永久配置将变成新的运行时配置。例如,所有的当前
- 运行的配置规则如果没有在永久配置中操作,系统重新加载后就会丢失。
- 更改连接区域:更改网络连接的所属区域和接口。
- 改变默认区域:更改网络连接的默认区域。
- 应急模式:表示丢弃所有的数据包。
- 锁定:可以对防火墙的配置进行加锁,只允许白名单上的应用程序进行修改。
“配置”选项包括运行时和永久两种。运行时配置为当前使用的配置规则,永久配置规则在系统或服务重启时生效。在 firewall-config界面中主要需要了解的是区域、服务、ICMP等设置的选项卡。
1:“区域”选项
“区域”选项卡是一个主要设置的界面。“区域”选项卡下面还含服务、端口、协议、源端口、伪
装等一系列子选项卡。所以说,区域是服务、端口、协议、IP伪装、ICMP过滤等组合的意思,同时区域也可以绑定到接口和源地址。
(1)“服务”子选项卡
“服务”子选项卡可以定义区域中哪些服务是可信的,可信的服务可以被绑定到该区域的任意连接、接口和源地址访问。
(2)"端口’’子选项卡
”端子’’子选项卡用于设置允许访问的主机或网络访问的端口范围。
(3)”协议’’子选项卡
用于添加所有主机或网络均可访问的协议。
(4)“源端口”子选项卡
“源端口”子选项卡可以添加额外的源端口或范围,连接到这台生机的所有主机或网络均可访问。设置源端口时,可以设置某一个端自号或者是端口范围,同时还需要选择对应的TCP或UDP协议。
(5)“伪装‘‘子选项卡
用于把私有网络地址映射到公有的 IP 地址,该功能目前只适用于 IPv4
(6)“端口转发”子选项卡
“端口转发”子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口,如图所示。在设置端口转发时同样需要选择协议类型,且该功能也仅支持工Pv4。
(7)“ICMP 过滤器”子选项卡
ICMP主要用于在联网的计算机间发送衡错信息,但也发送类似ping 请求以及回应等信息。在“ICMP过滤器”子选项卡中可以选择应该被拒绝的HCMP类型,其他所有的ICMP类型则被允许通过防火墙。默认设置是没有限制。
2:“服务”选项卡
服务是端口、协议、模块和目标地址的组合,并且“服务”选项卡只能在“永久”配置视图中修改,
运行时”配置中的服务是不可以修改的。与“区域”选项卡不同,“服务”选项卡仅包含五个子选项卡。
其中,“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。
(1)“模块”子选项卡
用于设置网络过滤的辅助模块。
(2)“目标地址”子选项卡
如果某服务指定了目标地址,服务项目仅限于目标地址和类型,如果IPv4与IPv6均为空,则没
有限制。
3:改变防火墙设置
要立刻改变现在的防火墙设置,须确定当前视图设定在运行时。或者,从下拉菜单中选择永久
(Permanent)如下图所示,编辑下次启动系统或者防火墙重新加载时执行的设定。
在运行时(Runtime)模式下更改防火墙的设定时,
禁用应急模式:禁用一且您启动或者清除连接服务器的复选框,选择立即生效。在 Permanent 模式下更改防火墙的设定,仅仅在重新加戳防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标,或着点击选项单,选择重新加载防火墙。
4:修改默认分区
要设定一个将要被分配新接口的分区作为款认值,则启动firewal1-config,从菜单栏选择选项卡,
由下拉菜单中选择修改默认区域,出现默认区域窗口如图所示。从给出的列表中选择您需要用的分区作为默认分区,点击确定按钮即可。
四:Firewalld防火墙firewall-cmd 命令设置
1:获取预定义信息
firewal1-cnd 预定义信息主变包括三种:可用的区域、可用的服务以及可用的ICMP阻塞类型,具
体的查看命令如下所示。
[root@localhost ~]# firewall-cmd =-get-zones
[root@localhost ~]# firewall-cmd--get-service
[root@localhost ~]# firewall-cmd--get-icmptypes
firewall-cmd --get-icmptypes命令的执行结果中各种阻塞类型的含义分别如下所示。
- destination-unreachable:目的地址不可达。
- echo-reply;应答回应(pong)。
- parameter-problem:参数问题。
- redirect:重新定向。
- router-advertisement:路由器通告。
- router-solicitation:路由器征寻。
- source-quench:源端抑制。
- time-exceeded:超时。
- timestamp-reply:时间戳应答回应。
- timestamp-request:时间戳请求
2:区域管理
使用Firewal1-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。下表中列出
了firewall-cmd命令的区域管理选项说明。
| 选项 | 说明 |
| --get-default-zone | 显示网络连接或接口的默认区域 |
| --set-default-zone=<zone> | 设置网络连接或接口的默认区域 |
| --get-active-zones | 显示已激活的所有区域 |
| --get-zone-of-interface=<interface> | 显示指定接口绑定的区域 |
| -zone=<zone>--add-interface=<interface> | 为指定接口绑定区域 |
| --zone=<zone>--change-interface=<interface> | 为指定的区域更改绑定的网络接口 |
| -zone=<zone>--remove-interface=<interface> | 为指定的区域删除绑定的网络接口 |
| --list-allzones | 显示所有区域及其规则 |
| [--zone=<zone>]--list-all | 显示所有指定区域的所有规则 |
(1)显示当前系统中的默认区域
[root@localhost ~]#firewall-cnd--get-default-zone
(2)显示默认区域的所有规则
[root@localhost ~]# firewali-cma --list-ali
备注:
mDNS即组播DNS(multicast DNS)。使用5353端口,在内网没有DNS服务器时,就会
出现此组播信息。
(3)显示网络接口ens33对应区域.
[root@localhost ~]# firewall,emdpublicget-zone-of-interface=ens33
(4)将网络接口 ens33 对应区域更改为internal区域。
[root@localhostfirewall-cmd-zone=internal--change-interface=ens33
[root@localhost ~]# firewall,emdpublicget-zone-of-interface=ens33
[root@localhost ~]# firewall,emdpublicget-zone-of-interface=ens33
(5)显示所有激活区域
[root@localhost ~]# finewall-cmd--get-active-zones
3:服务管理
为了方便管理,firewalld顶先定义了很多服务,存放在/usr/lib/firewalld/services/目录
中,服务通过单个的xML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,她ssh服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的firewalld中默认已经定义了70多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要发布博客将 service 配置文件放置在/etc/firewalld/services/目录中。service配置具有以下优点。
- 通过服务名字来管理规则更加人性化。
- 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端门的规则管理的批量操作快捷方式。
下表列出了firewal1-cmd命令区域中服务管理的常用选项说明
| 参数 | 作用 |
| --get-default-zone | 查访默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预定义的服务 |
| --get-active-zones | 显示当前正在使用的区域、来源地址和网卡名称 |
| --add-source= | 将源自此IP或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此IP或子网的流量导向这个区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| --reload | 让”永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式 |
| --panic-off | 关闭应急状况模式 |
两种配置模式
前面提到 firewa11-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。
firewal1-cmd 命令工具与配置模式相关的选项有三个。
- --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
- --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则。
- --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
总结
本章对 firewa1ld 防火墙进行了全面而深入的介绍。首先,我们阐述了 firewalld 的基本原理,包括其作为包过滤机制的规则提供者,以及通过 netfilter 实现数据包处理的机制。通过与 iptables 的对
比,我们明确了 firewalld 在结构和使用方法上的独特性,并指出 firewalld 支持运行时和永久配置两种模式。
在配置方法方面,我们详细介绍了 firewalld 的图形化配置工具 firewall-config 和命令行工具firewal1-cmd。通过这两个工具,用户可以方便地管理防火墙的区域、服务、端口等设置,实现对网络流量的精细控制。
此外,本章还通过一个实际案例,展示了如何在不同网络环境中应用 firewalld 防火墙来保护网络安全。这一过程中,我们不仅配置了 firewa1ld 的基本规则,还通过端口转发、ICMP 过滤等功能,实现了对特定网络流量的特殊处理。
总之,通过本章的学习,读者应该能够熟练掌握 firewalld 防火墙的配置与管理技能,为构建安全、可靠的网络环境提供有力保障
