关于什么是防火墙,凡是接触过计算机的朋友应该都会了解。在现代计算机通信中,有很多的安全技术,防火墙就是其中最基本的一种。
同时,防火墙具备一些有效的隔离功能,能够对经过防火墙的网络包按照一定的规则进行检查,从而控制网络包的进入进出,以达到限制网络访问的一些目睹,这其中最著名的莫过于我们的长城防火墙(GFW)。
今天我们要讨论的就是,作为一种安全技术,防火墙是如何实现控制网络通信的。当然,我们是基于CentOS上的防火墙进行的讨论,并且仅限于命令上的使用,并不切入到内核代码的实现。
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置(临时配置)
永久配置
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
Firewalld/iptables
centOS 7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”
1.3 FIREWALLD网络区域
区域介绍
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
默认情况下,public区域是默认区域, 包含所有接口(网卡)
Firewalld数据处理流程
检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
区域 描述
drop(丢弃) 任何接收的网络数据包都会被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制) 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public(公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的链接
external(外部) 特别是为路由器启动了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入您的内部网络,仅仅接收经过选择的连接
work(工作) 用于工作区,您可以基本相信网络内的其他电脑不会危害您的电脑,仅仅接收经过选择的连接
home(家庭) 用于家庭网络,您可以基本信任网络内的其他计算器不会危害您的计算机,仅仅接收经过选择的连接
internal(内部) 用于内部网络,您可以基本上信任网络内的其他计算机不会威胁您的计算机,仅仅接受经过选择的连接
trusted(信任) 可接收所有的网络连接
运行时配置
实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
永久配置
不立即生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置
firewall-config图形工具
firewall-cmd命令行工具
/etc/firewalld/中的配置文件
firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/bin/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置
在安装 CentOS7 系统时,会自动安装 firewalld 和图形化工具 firewall-config
[root@localhost ~]# systemctl start firewalld '启动firewalld'
[root@localhost ~]# systemctl enable firewalld '设置firewalld为开机自启动'
[root@localhost ~]# systemctl status firewalld '查看firewalld运行状态'
[root@localhost ~]# firewall-cmd --state '查看firewalld运行状态'
running
[root@localhost ~]# systemctl stop firewalld '停止firewalld'
[root@localhost ~]#systemctl disable firewalld '设置firewalld开机不自启动'
2.1.2 获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻
塞类型
[root@localhost ~]# firewall-cmd --get-zones '显示预定义的区域'
block dmz drop external home internal public trusted work
[root@localhost ~]# firewall-cmd --get-service '显示预定义的服务'
[root@localhost ~]# firewall-cmd --get-icmptypes '显示预定义的 ICMP 类型'
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示:
destination-unreachable:目的地址不可达
echo-reply:应答回应(pong)
parameter-problem:参数问题
redirect:重新定向
router-advertisement:路由器通告
router-solicitation:路由器征寻
source-quench:源端抑制
time-exceeded:超时
timestamp-reply:时间戳应答回应
timestamp-request:时间戳请求
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能
firewall-cmd 命令的区域管理选项说明
选项 说明
–get-default-zone |显示网络连接或接口的默认区域
–set-default-zone= 设置网络连接或接口的默认区域
–get-active-zones 显示已**的所有区域
–get-zone-of-interface= 显示指定接口绑定的区域
–zone= --add-interface= 为指定接口绑定区域
–zone= --change-interface= 为指定的区域更改绑定的网络接口
–zone= --remove-interface= 为指定的区域删除绑定的网络接口
–list-all-zones 显示所有区域及其规则
[–zone=] --list-all 显示所有指定区域的所有规则,省略–zone=时表示仅 对默认区域操作
[root@localhost ~]# firewall-cmd --get-default-zone '显示当前系统中的默认区域'
[root@localhost ~]# firewall-cmd --list-all '显示默认区域的所有规则'
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 '显示网络接口ens33对应区域'
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33 '将网络接口ens33对应区域更改为internal区域'
[root@localhost ~]# firewall-cmd --get-active-zones '显示所有**区域'
为了方 便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的firewalld中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将service 配置文件放置在/etc/firewalld/services/ 目录中。
service 配置具有以下优点:
通过服务名字来管理规则更加人性化
通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服
务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式
firewall-cmd 命令区域中服务管理的常用选项说明
选项 说明
[–zone=] --list-services 显示指定区域内允许访问的所有服务
[–zone=] --add-service= 为指定区域设置允许访问的某项服务
[–zone=] --remove-service= 删除指定区域已设置的允许访问的某项服务
[–zone=] --list-ports 显示指定区域内允许访问的所有端口号
[–zone=] --add-port=[-]/ 为指定区域设置允许访问的某个/某段端口号(包括协议名)
[–zone=] --remove-port=[-]/ 删除指定区域已设置的允许访问的端口号(包括协议名)
[–zone=] --list-icmp-blocks 显示指定区域内拒绝访问的所有ICMP类型
[–zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项ICMP类型
[–zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项ICMP类型
省略–zone=时表示对默认区域操作
[root@localhost ~]# firewall-cmd --list-services '显示默认区域内允许访问的所有服务 '
[root@localhost ~]# firewall-cmd --add-service=http '设置默认区域允许访问http服务'
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql '设置 internal区域允许访问mysql服务'
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client '设置internal区域不允许访问samba-client服务'
[root@localhost ~]# firewall-cmd --zone=internal --list-services '显示 internal 区域内允许访问的所有服务'
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自
动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp '在internal区域打开443/TCP端口'
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp '在internal区域禁止443/TCP端口访问'
前面提到firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个:
[root@localhost ~]# firewall-cmd --reload '重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置'
[root@localhost ~]# firewall-cmd --permanent
'带有此选项的命令用于设置永久性规则,这些规则只有在重新启动firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则'
[root@localhost ~]# firewall-cmd --runtime-to-permanent '将当前的运行时配置写入规则配置文件中,使之成为永久性'
[root@localhost ~]# firewall-config '打开防火墙图形工具'
下面通过一个实验来直观展示图形工具的使用
一台服务器ip地址为192.168.179.110,客户机01ip地址为192.168.179.144,另一台客户机02ip地址为192.168.179.130
需求描述
禁止主机ping服务器
只允许192.168.179.144主机访问SSH服务
允许所有主机访问Apache服务
根据上面的要求可以简单画一个简图,根据要求对服务器的防火墙进行配置
