自学内容网 自学内容网

【CentOS】中的Firewalld:全面介绍与实战应用(上)

🐇明明跟你说过:个人主页

🏅个人专栏:《Linux :从菜鸟到飞鸟的逆袭》🏅

🔖行路有良友,便是天堂🔖

目录

一、引言

1、iptables 时代

2、firewalld 时代

3、 从 iptables 迁移到 firewalld

二、Firewalld基础概念

1、什么是Firewalld 

2、Firewalld 的特性

3、Firewalld与iptables的区别

1. 设计理念和管理方式

2. 使用方式

3. 规则管理和灵活性

4. 性能和适用场景

三、安装与配置Firewalld

1、Firewalld的安装(对于未预装的系统)

四、Firewalld的区域(Zones)管理

1、区域的概念与作用

2、如何查看当前区域设置

3、更改默认区域与接口绑定


一、引言

在 CentOS 系统中,防火墙管理工具经历了从 iptables 到 firewalld 的演变。了解这一变迁过程有助于更好地理解和使用当前的防火墙管理工具。

1、iptables 时代

简介

  • iptables 是 Linux 内核中 Netfilter 项目的用户空间实用程序,用于配置 IPv4 数据包过滤规则。它允许用户定义规则以控制网络流量的进出。

功能

  1. 数据包过滤:根据源地址、目标地址、端口等条件过滤数据包。
  2. NAT:网络地址转换,主要用于互联网共享。
  3. 状态检测:跟踪连接状态,允许基于状态的规则。
  4. 丰富的规则集:支持复杂的规则和链结构,允许用户自定义网络流量控制。


配置

iptables 规则通过命令行工具 iptables 进行管理,通常规则配置会保存在 /etc/sysconfig/iptables 文件中。重启系统时,可以通过这个文件加载规则。

2、firewalld 时代

简介

  • firewalld 是一个动态管理防火墙的守护进程,提供基于区域的网络流量管理。它是在 CentOS 7 及以后版本中引入的,旨在简化防火墙管理,提供更灵活和动态的控制。

功能

  1. 动态管理:支持在不中断现有连接的情况下动态更改规则。
  2. 区域概念:基于信任级别定义不同的区域,每个区域有不同的规则。
  3. 服务管理:可以通过服务名称而不是端口号来配置规则。
  4. 接口绑定:可以将网络接口绑定到特定的区域。
  5. 丰富的接口:提供命令行工具 firewall-cmd 和图形界面工具(如 firewall-config)进行管理。


3、 从 iptables 迁移到 firewalld

迁移原因

  1. 简化管理:firewalld 提供更高级的抽象,简化了复杂规则的管理。
  2. 动态配置:firewalld 可以在不中断现有连接的情况下应用新的规则。
  3. 区域和服务管理:通过区域和服务的概念,提供了更直观的规则管理方式。

迁移过程

  1. 学习 firewalld:理解区域、服务和接口的概念。
  2. 转换规则:将 iptables 规则翻译成 firewalld 规则。
  3. 测试和验证:在迁移过程中测试新规则以确保网络服务不受影响。
  4. 逐步切换:可以在测试环境中逐步切换,验证一切正常后再在生产环境中切换。

   

二、Firewalld基础概念

1、什么是Firewalld 

firewalld 是一个用于 Linux 系统的动态防火墙管理工具,旨在简化和增强防火墙的配置和管理。它在 CentOS 7 及以后版本中作为默认防火墙管理工具,取代了传统的 iptables。

2、Firewalld 的特性

动态管理

  • firewalld 支持在不中断现有连接的情况下动态地更改防火墙规则。这意味着可以在系统运行时即时应用新的规则,无需重启防火墙服务。

区域概念

firewalld 引入了区域的概念,每个区域代表一组不同的信任级别,可以绑定到一个或多个网络接口。常见的区域包括:

  1. public:适用于公共网络,信任较低,只开放少量服务。
  2. home:适用于家庭网络,信任较高,开放更多服务。
  3. work:适用于工作网络,信任度介于家庭和公共网络之间。
  4. internal:适用于内部网络,信任度最高,开放所有内部服务。

3、Firewalld与iptables的区别

firewalld 和 iptables 是两种用于管理 Linux 防火墙的工具,它们在设计理念、功能和使用方式上有显著的区别。

1. 设计理念和管理方式

iptables

  1. 静态规则:iptables 使用静态规则集,所有规则在启动时加载到内核并在运行时保持不变。任何更改都需要重新应用整个规则集,这可能导致短暂的网络中断。
  2. 命令行界面:通过命令行界面手动配置规则,每条规则需要单独添加和管理。
  3. 链和表:iptables 使用链(chain)和表(table)的概念,分别为 filter、nat、mangle 和 raw 表,每个表包含多个链,如 INPUT、OUTPUT、FORWARD 等。


firewalld

  1. 动态规则:firewalld 支持动态添加、修改和删除规则,而无需重启防火墙服务或重新应用整个规则集,因此不会中断现有连接。
  2. 区域概念:引入区域(zone)的概念,每个区域表示一组防火墙规则,可以根据网络接口或源地址分配到不同的区域。
  3. 服务管理:允许通过服务名称来配置规则,而不仅仅是端口号,使配置更直观和易于管理。
  4. 图形界面和命令行工具:除了命令行工具 firewall-cmd,还提供图形界面工具 firewall-config,方便用户管理防火墙。


2. 使用方式

iptables

  1. 手动配置:需要手动编写和维护防火墙规则,规则语法相对复杂。
  2. 配置文件:可以通过脚本或配置文件(如 /etc/sysconfig/iptables)来加载规则集,但需要重启服务或手动重新加载。

firewalld

  1. 区域和服务配置:通过区域和服务进行高层次管理,配置更加简单。
  2. 动态调整:支持即时生效的临时规则和持久化的永久规则,不会中断现有连接。


3. 规则管理和灵活性

iptables

  1. 细粒度控制:提供对每个数据包的细粒度控制,适合高级用户和复杂的防火墙配置需求。
  2. 固定规则集:一旦规则集加载到内核中,任何更改都需要重新加载整个规则集。

firewalld

  1. 灵活管理:支持动态调整规则,适合需要频繁更改防火墙规则的环境。
  2. 高层抽象:通过区域和服务提供高层抽象,简化配置和管理。

4. 性能和适用场景

iptables

  1. 高性能:直接操作内核的 netfilter 框架,性能较高,适合高流量环境。
  2. 单一节点:适用于单个节点或简单网络环境的防火墙管理。

firewalld

  1. 现代网络环境:适应现代动态网络环境,特别是云计算和虚拟化环境,提供更好的灵活性和易用性。
  2. 综合管理:适合需要综合管理多个网络接口和复杂网络配置的场景。

   

三、安装与配置Firewalld

1、Firewalld的安装(对于未预装的系统)

1. 更新系统
首先,确保系统的软件包是最新的。运行以下命令更新系统:

sudo yum update -y


2. 安装 Firewalld
使用 yum 包管理器安装 firewalld:

sudo yum install firewalld -y


3. 启动和启用 Firewalld
安装完成后,启动 firewalld 服务并设置开机自启动:

sudo systemctl start firewalld
sudo systemctl enable firewalld


4. 验证 Firewalld 状态
确保 firewalld 正常运行,可以使用以下命令检查其状态:

sudo systemctl status firewalld


如果 firewalld 正在运行,应该会看到类似以下的输出:

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2024-11-07 12:34:56 UTC; 5min ago
     Docs: man:firewalld(1)

四、Firewalld的区域(Zones)管理

1、区域的概念与作用

firewalld 使用区域(Zones)来定义不同网络接口的安全性和规则。每个区域都有一组预定义的规则,这些规则决定了哪些流量允许进出系统。

区域的概念

  1. 区域(Zone):区域是防火墙规则的集合。每个区域都有不同的安全级别,适用于特定的网络接口或连接。
  2. 默认区域:系统默认的区域。所有未指定区域的网络接口或连接会使用默认区域的规则。
  3. 动态和持久配置:firewalld 支持动态配置(即时生效但重启后失效)和持久配置(重启后依然生效)。

常见的预定义区域

firewalld 提供了几种预定义的区域,每种区域适用于不同的安全场景:

  1. trusted:信任所有网络流量。所有传入和传出流量都允许。
  2. home:适用于家庭网络,允许常见的网络服务(如共享文件和打印机)。
  3. work:适用于工作网络,与 home 类似,但更加安全。
  4. public:适用于公共网络(如咖啡店的 Wi-Fi),仅允许最小的传入流量。
  5. block:阻止所有传入流量,只有出站流量允许。
  6. dmz:适用于受保护的公开访问区,允许外部访问特定服务。
  7. external:适用于外部网络,使用网络地址转换(NAT)保护内部网络。
  8. internal:适用于内部网络,信任内部网络的流量。
  9. drop:丢弃所有传入流量,不返回任何响应,仅允许出站流量。

   

2、如何查看当前区域设置

查看当前区域设置,可以通过以下 firewalld 命令来实现。这些命令允许查看当前活跃的区域、特定接口的区域分配以及默认区域设置。

查看当前活动的区域和接口
查看当前活动的区域以及每个区域内包含的网络接口:

sudo firewall-cmd --get-active-zones


该命令会输出类似如下的信息:

public
  interfaces: eth0
home
  interfaces: eth1


这表示 eth0 接口被分配到 public 区域,而 eth1 接口被分配到 home 区域。

查看特定区域的详细信息
查看特定区域的详细信息,包括该区域的所有规则和设置:

sudo firewall-cmd --zone=public --list-all

该命令会输出类似如下的信息:

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

3、更改默认区域与接口绑定

更改默认区域
更改默认区域为 home 区域:

sudo firewall-cmd --set-default-zone=home


验证默认区域是否已更改:

sudo firewall-cmd --get-default-zone


将接口绑定到特定区域
假设有一个网络接口 eth0,希望将其绑定到 home 区域:

临时更改接口的区域绑定
将 eth0 接口临时分配到 home 区域(重启后更改会失效):

sudo firewall-cmd --zone=home --change-interface=eth0


验证更改:

sudo firewall-cmd --get-active-zones


应该能看到类似如下的输出:

home
  interfaces: eth0


永久更改接口的区域绑定
将 eth0 接口永久分配到 home 区域(重启后更改依然有效):

sudo firewall-cmd --zone=home --add-interface=eth0 --permanent


为了使永久更改生效,需要重新加载 firewalld:

sudo firewall-cmd --reload


再次验证更改:

sudo firewall-cmd --get-active-zones


应该能看到类似如下的输出:

home
  interfaces: eth0

  💕💕💕每一次的分享都是一次成长的旅程,感谢您的陪伴和关注。希望这些关于Linux的文章能陪伴您走过技术的一段旅程,共同见证成长和进步!😺😺😺

🧨🧨🧨让我们一起在技术的海洋中探索前行,共同书写美好的未来!!!  


原文地址:https://blog.csdn.net/weixin_53269650/article/details/143595876

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!