Firewalld防火墙基础``

Firewalld概述

Firewalld简介

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

支持IPv4、IPv6防火墙设置以及以太网桥

支持服务或应用程序直接添加防火墙规则接口

拥有两种配置模式

​ 运行时配置

​ 永久配置

Firewalld和iptables的关系

netfilter

位于Linux内核中的包过滤功能体系

称为Linux防火墙的“内核态”

Firewalld/iptables

CentOS7默认的管理防火墙规则的工具

称为Linux防火墙的“用户态”

Firewalld和iptables的区别

Firewalld网络区域

区域介绍

其中在不对网卡调整时。public为默认模式

区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
默认情况下，public区域是默认区域，包含所有接口（网卡）

Firewalld数据处理流程

检查数据来源的源地址
若源地址关联到特定的区域，则执行该区域所指定的规则
若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

Firewalld防火墙的配置方法

运行时配置

实时生效，并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置

永久配置

不立即生效，除非Firewalld重新启动或重新加载配置
终端现有连接
可以修改服务配置

Firewall-config图形工具

运行时配置/永久配置
重新加载防火墙
更改永久配置并生效（关联网卡到指定区域）
修改默认区域
连接状态

区域选项卡内容
1.“服务” 子选项卡
2.“端口”子选项卡
3.“协议”子选项卡
4.“源端口”子选项卡
5.“伪装”子选项卡
6.“端口转发”子选项卡
7.“ICMP过滤器”子选项卡

服务选项卡
1.“模块”子选项卡
2.“目标地址”子选项卡

Firewalld防火墙案例

需求描述：
禁止主机ping服务器
只允许192.168.131.129主机访问SSH服务
允许所有主机访问Apache服务
在终端使用命令：firewall-config 进入firewall的图形化界面

只允许192.168.131.129访问SSH服务的设置
在区域的选项卡中选择work，再选择子选项卡“来源”，在其中添加允许访问SSH服务主机的IP地址192.168.131.129
在区域的选项卡中选择work，勾选ssh与dhcp并去除dhcpv6-clicent，之后再public（公共区域）中去除ssh选项

允许所有主机访问Apache服务配置
在区域的选项卡中选择public（公共区域），勾选dhcp并去除dhcpv6-clicent

禁止主机ping服务器配置
在work的ICMP过滤器选项中勾选echo-request
在public（公共区域）的ICMP过滤器选项中勾选echo-reply