Linux--firewalld防火牆基礎（firewalld和iptables關系，四表五鍊，netfilter與iptables關系，iptables文法與參數，firewalld網絡區域）

文章目錄

• 前言
• 一、Firewalld，iptables概述
• • 1.1、Firewalld
• 二、Firewalld和iptables的關系
• • 2.1:netfilter
  • 2.2：Firewalld/iptables
  • 2.3：netfilter和Firewalld，iptables關系
  • 2.4：Firewalld和iptables的差別
  • 2:5：CentOS 6 和CentOS 7 防火牆的差別
• 三、iptables詳解
• • 3.1：Netfilter子產品概念
  • 3.2：Netfilter與iptables之間的關系
  • 3.3：四表五鍊
  • 3.4：iptables文法格式與常用參數
  • 3.5：設定防火牆政策，示範安裝Apache服務
• 四：Firewalld網絡區域
• • 4.1：區域介紹
• 五：Firewalld防火牆的配置方法
• 六：Firewall-config圖形工具（操作截圖）

前言

防火牆是現代網絡安全防護技術中的重要構成内容，可以有效地防護外部的侵擾與影響。随着網絡技術手段

防火牆技術

防火牆技術的完善，防火牆技術的功能也在不斷地完善，可以實作對資訊的過濾，保障資訊的安全性。防火牆就是一種在内部與外部網絡的中間過程中發揮作用的防禦系統，具有安全防護的價值與作用，通過防火牆可以實作内部與外部資源的有效流通，及時處理各種安全隐患問題，進而提升了資訊資料資料的安全性。防火牆技術具有一定的抗攻擊能力，對于外部攻擊具有自我保護的作用，随着計算機技術的進步防火牆技術也在不斷發展。

（1）過濾型防火牆

過濾型防火牆是在網絡層與傳輸層中，可以基于資料源頭的位址以及協定類型等标志特征進行分析，确定是否可以通過。在符合防火牆規定标準之下，滿足安全性能以及類型才可以進行資訊的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。

（2）應用代理類型防火牆

應用代理防火牆主要的工作範圍就是在OSI的最高層，位于應用層之上。其主要的特征是可以完全隔離網絡通信流，通過特定的代理程式就可以實作對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

（3）複合型

目前應用較為廣泛的防火牆技術當屬複合型防火牆技術，綜合了包過濾防火牆技術以及應用代理防火牆技術的優點，譬如發過來的安全政策是包過濾政策，那麼可以針對封包的報頭部分進行通路控制；如果安全政策是代理政策，就可以針對封包的内容資料進行通路控制，是以複合型防火牆技術綜合了其組成部分的優點，同時摒棄了兩種防火牆的原有缺點，大大提高了防火牆技術在應用實踐中的靈活性和安全性。

一、Firewalld，iptables概述

1.1、Firewalld

支援網絡區域所定義的網絡連接配接以及接口安全等級的動态防火牆管理工具。

支援 IPV4、IPV6防火牆設定以及以太網橋

支援服務或應用程式直接添加防火牆規則接口

擁有兩種配置模式：

●運作時配置

●永久配置

二、Firewalld和iptables的關系

2.1:netfilter

●位于Linux核心中的包過濾功能體系

●稱為Linux防火牆的“核心态”

2.2：Firewalld/iptables

●CentOS7預設的管理防火牆規則的工具

●稱為Linux防火牆的“使用者态”

2.3：netfilter和Firewalld，iptables關系

隻有iptables才能和核心态進行互動

2.4：Firewalld和iptables的差別

Firewalld	iptables
配置檔案	/usr/lib/firewalld,/etc/firewalld	/etc/sysconfig/iptables
對規則的修改	不需要全部重新整理政策，不丢失現行連接配接	需要全部重新整理政策，丢失連結
防火牆類型	動态防火牆	靜态防火牆

2:5：CentOS 6 和CentOS 7 防火牆的差別

centos7有firewalld，iptables

centos6是iptables

圖形化管理工具 firewall-config

指令管理工具：iptables（操作複雜） firewall-cmd

三、iptables詳解

3.1：Netfilter子產品概念

netfilter是主要的工作子產品，位于核心中，在網絡層的五個位置（就是防火牆四表五鍊中的五鍊）注冊了一些函數，用來抓取資料包

将資料包的資訊拿出來比對各個鍊位置在對應表中的規則：比對之後，進行相應的處理ACCEPT，DROP等等

3.2：Netfilter與iptables之間的關系

總結，隻有iptables才能和核心态進行互動

3.3：四表五鍊

五鍊

●進路由（PREOUTING鍊）：在進行路由選擇前處理資料包

●進系統（INPUT）：處理入站資料包

●轉發（FORWARD）：處理轉發資料包

●出路由（POSTROUTING）：在進行路由選擇後處理資料包

●出系統（OUTPUT）：處理出站資料包

四表

filter表——過濾資料包（filter是預設的表，在使用iptables指令進行配置規則的時候，不特指其他的表就會預設filter）

Nat表——用于網絡位址轉換（IP，端口）

Mangle表——修改資料包的服務類型，TTL，并且可以配置路由實作QOS

Raw表——決定資料包是否被狀态跟蹤機制處理

四表五鍊之間的關系

表包含鍊

鍊包含規則

3.4：iptables文法格式與常用參數

iptables文法格式

iptables [-t 表名] 選項 [鍊名] [條件] [-j 控制類型]
如果不指定表名，則會預設指定filter表
           

iptables常用參數

-P 設定預設政策：iptables
-P INPUT(DROP|ACCEPT)
-F 清空規則鍊
-L 檢視規則鍊
-A 在規則鍊的末尾加入新規則
-I num 在規則鍊的頭部加入新規則
-D num 删除某一條規則
-s 比對來源位址IP/MASK，加感歎号“！”表示除了這個IP外
-d 比對目标位址
-i 網卡名稱 比對從這塊網卡流入的資料
-o 網卡名稱 比對從這塊網卡流出的資料
-p 比對協定，如tcp，udp，icmp
--dport num 比對目标端口号
--sport num 比對來源端口号
           

iptables指令使用總結

所有鍊名必須大寫
INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING
所有表名必須小寫
filter/nat/mangle
所有動作必須大寫
ACCEPT/DROP/SNAT/DNAT/MASQUERADE
所有比對必須小寫
-s/-d/-m <module_name>/-p
           

3.5：設定防火牆政策，示範安裝Apache服務

環境：

VMware軟體

一台centos 7系統

一台win10

配置centos7

[[email protected]~]# yum install httpd -y
[[email protected]~]# systemctl start httpd
'此時用win10浏覽器通路本主機ip位址發現是無法連接配接的'
[[email protected]~]# iptables -I INPUT -i ens33 -p tcp --dport 80 -s 192.168.197.141/24 -j ACCPET	'在規則鍊頭部加入規則，指定從ens33網卡流入的，比對tcp協定，比對80端口（httpd的端口号）比對源ip位址（win10），指定控制類型為接受'
[[email protected]~]# iptables -L  	'檢視政策是否設定成功'
           

此時使用win10網頁輸入centos7ip位址，可以看到Apache服務，配置成功

四：Firewalld網絡區域

4.1：區域介紹

●區域如同進入主機的安全門，每個區域都具有不同限制程度的規則

●可以使用一個或多個區域，但是任何一個活躍區域至少需要關聯源位址或接口

●預設情況下，public區域是預設區域，包含所有接口（網卡）

●iptables沒有區域的概念

●外部流量通過規則進入相應的區域接口（網卡）

五：Firewalld防火牆的配置方法

運作時配置

實時生效，并持續至firewalld重新啟動或重新加載配置

不中斷現有連接配接

不能修改服務配置

永久配置

不立即生效，除非firewalld重新啟動和重新加載配置

中斷現有連接配接

可以修改服務配置

firewall-config圖形工具（用的少）

firewall-cmd指令行工具（用的多）

/etc/firewalld/中的配置檔案

firewalld會優先使用/etc/firewalld/中的配置，如果不存在配置檔案，則使用/usr/bin/firewalld/中的配置

/etc/firewalld/：使用者自定義配置檔案，需要時可通過從/usr/lib/firewalld/中拷貝

/usr/lib/firewalld/：預設配置檔案，不建議修改，若恢複至預設配置，可以直接删除/etc/firewalld/中的配置

六：Firewall-config圖形工具（操作截圖）

[[email protected] opt]# firewall-cmd --get-default-zone    接口的預設的區域就是public
public
           

包含運作時配置/永久配置

重新加載防火牆

更改永久配置并生效

關聯網卡到指定區域

修改預設區域

連接配接狀态

“區域”頁籤

“服務”子頁籤

“端口”子頁籤

“協定”子頁籤

“源端口”子頁籤

“僞裝”子頁籤

“端口轉發”子頁籤

“ICMP過濾器”子頁籤

“服務”頁籤