Firewalld防火牆配置與管理-CentOS8.1Linux運維實戰十七
Linux系統運維實戰系列
CentOS 8/RHEL 8 Linux系統運維實戰系列原創持續更新中……
Firewalld防火牆是一種監視和過濾傳入和傳出網絡流量的方法。它通過定義一組安全規則來確定是否允許或阻止特定的流量。正確配置的防火牆是整個系統安全性的最重要方面之一。
在CentOS 8中,iptables被nftables替換為firewalld守護進程的默認防火牆後端服務。
CentOS 8自帶firewalld的防火牆守護進程。它是一個具有D-Bus接口的完整解決方案,允許您動態地管理系統的防火牆。
如何配置和管理CentOS 8上的防火牆呢?
前提條件:運行防火牆服務
Firewalld基本概念
- zones區域:zones區域與接口或者來源網絡綁定,區域中包含規則,區域中的接口或來源網絡流量受對應區域的規則限制,因此區域是預定義的規則集,指定您的計算機所連接的網絡的信任級別。可以將網絡接口和源分配到專區
- services服務:區域內應用的預定義規則,它定義了允許特定服務傳入的入站流量。
基於您將配置的區域和服務,您可以控制允許或阻止來自系統的哪些流量
Firewalld防火牆管理命令行實用工具:firewall-cmd 可以使用firwalld-cmd命令行實用程序配置和管理Firewalld。
Firewalld默認區域
- drop:刪除所有的傳入的入站流量,只允許向外的出站流量。
- block:所有的傳入的入站流量都被IPv4的icmp-host-prohibited,IPv6的icmp6-adm-prohibited消息拒絕。只允許出站流量,與drop不同的是給客戶端回覆消息拒絕,實際應用中不建議使用block。
- public:供在不受信任的公共區域使用。您不信任網絡上的其他計算機,但您可以允許某些指定服務的入站流量。
- external:當你的系統作為網關或路由器時,在啟用NAT偽裝的外部網絡上使用。只允許某些指定服務的入站流量。
- internal:當您的系統充當網關或路由器時,用於內部網絡,網絡上的其他系統通常是可信的。只允許某些指定服務的入站流量。
- dmz:用於位於您的非軍事化區域的服務器,這些服務器對您的網絡的其餘部分的訪問是有限的。只允許某些指定服務的入站流量。
- work:用於工作站服務器。網絡上的其他計算機通常是可信的。只允許某些指定服務的入站流量。
- home:用於家用服務器。網絡上的其他計算機通常是可信的。只允許某些指定服務的入站流量。
- trusted:接受所有網絡連接。信任網絡中的所有入站流量。
防火牆服務
- 服務由協議和對應端口組成 協議:tcp/udp 端口:port 組成比如:http tcp/80,ftp tcp/21,20,nfs tcp/2049,mysql tcp/3306等等
Firewalld使用兩個獨立的配置集
- 運行時配置集:當前內存中加域運行的防火牆配置,掉電、重啟丟失。
查看當前zone的運行配置集
- 永久配置集:firewalld守護進程啟動時加載永久配置,永久配置集保存在文件中,永久有效
注意:默認情況下,當使用firwall-cmd實用程序更改Firewalld配置時,更改將應用於運行時配置,想要使更改永久生效,需要加上--permanent選項附加到命令中。
Firewalld防火牆應用保存配置方式
1)將當前運行的配置集 一次性保存到永久配置文件中
2)在添加運行配置規則時加上--permanent選項
Firewalld基本管理
1)查看當前已放行的入站服務
2)查看當前的網卡設備及所在的zone
3)查看接口與zone的綁定關係
4)查看指定zone的規則集
5)放行入站服務流量:添加samba文件共享入站服務流量
6)通過協議和端口號添加:對於不在服務中預定義的服務,可以使用協議和端口號的方式添加放行的入站流量
總結
Firewalld作為Centos系統內置的防火牆軟件,可以限制網絡流量訪問,性能上不能滿足高防要求。
請關注,不迷路,跟老鄧學IT,技術成就夢想!
閱讀更多 老鄧IT 的文章
