firewalld防火墻概述及字符管理工具

內(nèi)容要點(diǎn):

創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司,專注成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、網(wǎng)站營(yíng)銷推廣,域名與空間,雅安服務(wù)器托管,網(wǎng)站運(yùn)營(yíng)有關(guān)企業(yè)網(wǎng)站制作方案、改版、費(fèi)用等問題,請(qǐng)聯(lián)系創(chuàng)新互聯(lián)。

  • firewalld概述

  • firewalld和iptables的關(guān)系

  • firewalld網(wǎng)絡(luò)區(qū)域

  • firewalld防火墻的配置方法

  • firewalld-config圖形工具

一、firewalld概述

firewalld簡(jiǎn)介:

  • 支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具

  • 支持IPv4、IPv6防火墻設(shè)置以及以太網(wǎng)橋

  • 支持服務(wù)或應(yīng)用程序直接添加防火墻規(guī)則接口

  • 擁有兩種配置模式

  • 運(yùn)行時(shí)配置(重啟后則設(shè)置不再生效)

  • 永久配置(聲明于配置文件中)

二、Firewalld和iptables的關(guān)系

?netfilter

  • 位于Linux內(nèi)核中的包過濾功能體系

  • 稱為L(zhǎng)inux防火墻的“內(nèi)核態(tài)”

Firewalld/iptables

  • CentOS7默認(rèn)的管理防火墻規(guī)則的工具(Firewalld)

  • 稱為L(zhǎng)inux防火墻的“用戶態(tài)”

firewalld防火墻概述及字符管理工具

三、網(wǎng)絡(luò)區(qū)域

區(qū)域介紹(默認(rèn)區(qū)域?yàn)閜ublic)

firewalld防火墻概述及字符管理工具

區(qū)域如同進(jìn)入主機(jī)的安全門,每個(gè)區(qū)域都具有不同限制程度的規(guī)則

可以使用一個(gè)或多個(gè)區(qū)域,但是任何一一個(gè)活躍區(qū)域至少需要關(guān)聯(lián)源地址或接口

默認(rèn)情況下,public區(qū) 域是默認(rèn)區(qū)域,包含所有接口(網(wǎng)卡)

firewalld數(shù)據(jù)處理流程

  • 檢查數(shù)據(jù)來(lái)源的源地址

  • 若源地址關(guān)聯(lián)到特定的區(qū)域,則執(zhí)行該區(qū)域所指定的規(guī)則

  • 若源地址未關(guān)聯(lián)到特定的區(qū)域,則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則

  • 若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域,則使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則

四、firewalld防火墻的配置方法

運(yùn)行時(shí)配置

  • 實(shí)時(shí)生效,并持續(xù)至Firewalld重新啟動(dòng)或重新加載配置

  • 不中斷現(xiàn)有連接

  • 不能修改服務(wù)配置

永久配置

  • 不立即生效,除非Firewalld重新啟動(dòng)或重新加載配置

  • 中斷現(xiàn)有連接

  • 可以修改服務(wù)配置

firewall-config圖形工具

  • 運(yùn)行時(shí)配置/永久配置

  • 重新加載防火墻

  • 更改永久配置并生效?

  • 關(guān)聯(lián)網(wǎng)卡到指定區(qū)域

  • 修改默認(rèn)區(qū)域

  • 連接狀態(tài)

    firewalld防火墻概述及字符管理工具

    firewalld防火墻概述及字符管理工具

    firewalld防火墻概述及字符管理工具

firewalld防火墻概述及字符管理工具

firewalld防火墻概述及字符管理工具

firewall-cmd命令行工具

1、啟動(dòng)、停止、查看firewalld服務(wù)

在安裝Cent0S7 系統(tǒng)時(shí),會(huì)自動(dòng)安裝firewalld 和圖形化工具firewall-config。 執(zhí)行以下命令可以啟動(dòng)firewalld 并設(shè)置為開機(jī)自啟動(dòng)狀態(tài)。

[root@localhost?~]#?systemctl?start?firewalld?//啟動(dòng)firemal1d
[root@localhost?~]#?systemctl?enable?firewalld?//設(shè)置firewalld為開機(jī)自啟動(dòng)
如果firewalld正在運(yùn)行,通過systemctl?status?firewalld?或firewall-cmd?命令可以查看其運(yùn)行狀態(tài)。
[root@localhost?~]#?systemctl?status?firewalld
[root@1ocalhost?~]#?systemct1?stop?firewalld?//停止firewal1d
[root@localhost?~]#?systemct1?disable?firewalld?//設(shè)置firewalld開機(jī)不自啟動(dòng)

2、獲取預(yù)定義信息

firewall-cmd預(yù)定義信息主要包括三種:可用的區(qū)域、可用的服務(wù)以及可用的ICMP阻塞類型,具體的查看命令如下所示。

[root@localhost?~]#?firewall-cmd?--get-zones?//顯示預(yù)定義的區(qū)域
work?drop?internal?external?trusted?home?dmz?public?block
[root@localhost?~]#?firewall-cmd?-?get?service?//顯示預(yù)定義的服務(wù)
RH-?Sate1ite-6?amanda-client?amanda?-k5-client?bacul?abacula-client?cephcephmondhcp?dhcpv6?dhcpv6-client?DNSdocker-?registrx?dropbox-lansyncfreeipa-1dap
.......
[root@localhost?~]#?firewall-cmd?--get-icmptypes?//顯示預(yù)定義的ICMP?類型
destinatian-unreachable?echo-reply?echo-request?parameter-problem?redirect?router-advertisement?router-solici?tati?on?source-?quench?time-exceeded?timest?amp-?reply?timestamp-request

firewall-cmd --get-icmptypes命令的執(zhí)行結(jié)果中各種阻塞類型的含義分別如下所示。

destination-unreachable:目的地址不可達(dá)。
echo-reply:?應(yīng)答回應(yīng)(pong)?。
parameter-problem:參數(shù)問題。
redirect:?重新定向。
router-?advertisement:路由器通告。
router-?solicitation:路由器征尋。
source-quench:源端抑制。
time-exceeded::超時(shí)。
timestamp-reply::時(shí)間戳應(yīng)答回應(yīng)。
timestamp-request:時(shí)間戳請(qǐng)求。

3、區(qū)域管理

firewalld防火墻概述及字符管理工具

firewalld防火墻概述及字符管理工具

4、firewalld端口操作命令

firewalld防火墻概述及字符管理工具

firewalld防火墻概述及字符管理工具

5、firewalld阻塞ICMP操作命令

firewalld防火墻概述及字符管理工具

firewalld防火墻概述及字符管理工具

6、兩種配置模式

--reload:?重新加載防火墻規(guī)則并保持狀態(tài)信息,即將永久配置應(yīng)用為運(yùn)行時(shí)配置。
--permanent::帶有此選項(xiàng)的命令用于設(shè)置永久性規(guī)則,這些規(guī)則只有在重新啟動(dòng)firewalld或重新加載防火墻規(guī)則時(shí)才會(huì)生效;若不帶有此選項(xiàng),表示用于設(shè)置運(yùn)行時(shí)規(guī)則。
--runtime-to-permanent:將當(dāng)前的運(yùn)行時(shí)配置寫入規(guī)則配置文件中,使之成為永久性

/etc/firewalld/中的配置文件

  • Firewalld會(huì)優(yōu)先使用/etc/firewalld/中的配置,如果不存在配置文件。

  • /etc/firewalld/ :用戶自定義配置文件,需要時(shí)可通過從usr/lib/firewalld/中拷貝

  • /usr/lib/firewalld/:默認(rèn)配置文件,不建議修改,若恢復(fù)至默認(rèn)配置,可直接刪除/etcfirewalld/中的配置

名稱欄目:firewalld防火墻概述及字符管理工具
文章分享:http://bm7419.com/article20/goioco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、虛擬主機(jī)、微信小程序、網(wǎng)站營(yíng)銷、網(wǎng)站收錄靜態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)