1.支援網絡區域所定義的網絡連接配接以及接口安全的動态防火牆管理工具。
2.支援IPv4、IPv6防火牆設定以及以太網橋接
3.支援服務或應運程式直接添加防火牆規則口
4.擁有兩種配置模式
運作時配置
永久配置
1.位于linux核心中的包過濾功能體系
2.稱為Linux防火牆的“核心态”
1.Centos7預設的管理防火牆規則的工具(Firewalld)
2.稱為linux防火牆的“使用者态”
3.Firewalld是iptables的更新
4.iptables(command)為使用者态
5.kernel(netfilter)為核心态
Firewalld
iptables
配置檔案
/usr/lib/firewalld/ /etc/firewalld/
/etc/sysconfig/iptables
對規則的修改
不需要全部重新整理政策,不丢失現行連接配接
需要全部重新整理政策,丢失連接配接
防火牆類型
動态防火牆
靜态防火牆
1.區域如同進入主機的安全門,每個區域都具有不同限制程度的規則
2.可以使用一個人或多個區域,但是任何一個活躍區域至少需要關聯源位址或接口
3.預設情況下,public區域是預設區域,包含所有接口(網卡)
區域
描述
drop(丢棄)
任何接收的網絡資料包都被丢棄,沒有任何回複。僅能有發送出去的網絡連接配接
block(限制)
任何接收的網絡連接配接都被IPv4的icmp-hot-prohibited資訊和IPv6的icmp6-adm-prohibited資訊所拒絕
public(公共)
在公共區域内使用,不能相信網絡内的其他計算機不會對您的計算機造成危害,隻能接收經過選取的連接配接
external(外部)
特别是為路由器啟用了僞裝功能的外部網。您不能信任來自網絡的其他計算,不能相信他們不會對您的計算機造成危害,隻能接收經過選擇的連接配接
dmz(非軍事區)
用于您的非軍事區内的電腦,此區域内可公開通路,可以有限的進入您的内部網絡,僅僅接收經過選擇的連接配接
work(工作)
用于工作區域。您可以基本相信網絡内的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接配接
home(家庭)
用于家庭網絡。您可以基本相信網絡内的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接配接
internal(内部)
用于内部網絡。您可以基本上信任網絡内的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接配接
trusted(信任)
可接受所有的網絡連接配接
檢查資料來源的源位址
1.若源位址關聯到特定的區域,則執行該區域所指定的規則
2.若源位址未關聯到特定的區域,則使用傳入網絡接口的區域并執行該區域所指定的規則
3.若網絡接口未關聯到特定的區域,則使用預設區域并執行該區域所指定的規則
1.實時生效,并持續至Firewalld重新啟動或重新加載配置
2.不中斷現有連接配接
3.不能修改服務配置
1.不立即生效,除非Firewalld重新啟動或重新加載配置
2.終端現有連接配接
3.可以修改服務配置
1.Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置檔案時可通過從/usr/lib/firewalld/中拷貝
2./usrlib/firwalld/:預設配置檔案,不建議修改,若恢複至預設配置,可直接删除/etc/firewalld/中的配置
運作時配置/永久配置
重新加載防火牆
更該永久配置
關聯網卡到指定區域
修改預設區域
連接配接狀态
區域頁籤内容
1.“服務” 子頁籤
2.“端口”子頁籤
3.“協定”子頁籤
4.“源端口”子頁籤
5.“僞裝”子頁籤
6.“端口轉發”子頁籤
7.“ICMP過濾器”子頁籤
服務頁籤
1.“子產品”子頁籤
2.“目标位址”子頁籤
各種阻塞類型的含義
區域管理選項
服務管理選項
端口管理指令
配置模式選項