Firewalld簡介
支援網絡區域所定義的網絡連結以及接口安全等級的動态防火牆管理工具
支援IPv4、IPv6防火牆設定以及以太網橋
支援服務或應用程式直接添加防火牆規則接口
擁有兩種配置模式
運作時配置
永久配置
netfilter
位于Linux核心中的包過濾功能體系
稱為Linux防火牆的“核心态”
Firewalld/iptables
CentOS7預設的管理防火牆規則的工具
稱為Linux防火牆的“使用者态”
Firewalld和iptables的差別
區域介紹
其中在不對網卡調整時。public為預設模式
區域如同進入主機的安全門,每個區域都具有不同限制程度的規則
可以使用一個或多個區域,但是任何一個活躍區域至少需要關聯源位址或接口
預設情況下,public區域是預設區域,包含所有接口(網卡)
檢查資料來源的源位址
若源位址關聯到特定的區域,則執行該區域所指定的規則
若源位址未關聯到特定的區域,則使用傳入網絡接口的區域并執行該區域所指定的規則
若網絡接口未關聯到特定的區域,則使用預設區域并執行該區域所指定的規則
運作時配置
實時生效,并持續至Firewalld重新啟動或重新加載配置
不中斷現有連接配接
不能修改服務配置
永久配置
不立即生效,除非Firewalld重新啟動或重新加載配置
終端現有連接配接
可以修改服務配置
運作時配置/永久配置
重新加載防火牆
更改永久配置并生效(關聯網卡到指定區域)
修改預設區域
連接配接狀态
區域頁籤内容 1.“服務” 子頁籤 2.“端口”子頁籤 3.“協定”子頁籤 4.“源端口”子頁籤 5.“僞裝”子頁籤 6.“端口轉發”子頁籤 7.“ICMP過濾器”子頁籤 服務頁籤 1.“子產品”子頁籤 2.“目标位址”子頁籤
需求描述:
禁止主機ping伺服器
隻允許192.168.131.129主機通路SSH服務
允許所有主機通路Apache服務
在終端使用指令:firewall-config 進入firewall的圖形化界面
隻允許192.168.131.129通路SSH服務的設定
在區域的頁籤中選擇work,再選擇子頁籤“來源”,在其中添加允許通路SSH服務主機的IP位址192.168.131.129
在區域的頁籤中選擇work,勾選ssh與dhcp并去除dhcpv6-clicent,之後再public(公共區域)中去除ssh選項
允許所有主機通路Apache服務配置
在區域的頁籤中選擇public(公共區域),勾選dhcp并去除dhcpv6-clicent
禁止主機ping伺服器配置
在work的ICMP過濾器選項中勾選echo-request
在public(公共區域)的ICMP過濾器選項中勾選echo-reply