Firewalld防火墙配置与管理-CentOS8.1Linux运维实战十七

Linux系统运维实战系列

CentOS 8/RHEL 8 Linux系统运维实战系列原创持续更新中……

求关注，转发，点赞，收藏！

Firewalld防火墙是一种监视和过滤传入和传出网络流量的方法。它通过定义一组安全规则来确定是否允许或阻止特定的流量。正确配置的防火墙是整个系统安全性的最重要方面之一。

在CentOS 8中，iptables被nftables替换为firewalld守护进程的默认防火墙后端服务。

CentOS 8自带firewalld的防火墙守护进程。它是一个具有D-Bus接口的完整解决方案，允许您动态地管理系统的防火墙。

如何配置和管理CentOS 8上的防火墙呢？

前提条件：运行防火墙服务

Firewalld基本概念

1. zones区域：zones区域与接口或者来源网络绑定，区域中包含规则，区域中的接口或来源网络流量受对应区域的规则限制，因此区域是预定义的规则集，指定您的计算机所连接的网络的信任级别。可以将网络接口和源分配到专区
2. services服务：区域内应用的预定义规则，它定义了允许特定服务传入的入站流量。

基于您将配置的区域和服务，您可以控制允许或阻止来自系统的哪些流量

Firewalld防火墙管理命令行实用工具：firewall-cmd 可以使用firwalld-cmd命令行实用程序配置和管理Firewalld。

Firewalld默认区域

1. drop:删除所有的传入的入站流量，只允许向外的出站流量。
2. block:所有的传入的入站流量都被IPv4的icmp-host-prohibited，IPv6的icmp6-adm-prohibited消息拒绝。只允许出站流量,与drop不同的是给客户端回复消息拒绝，实际应用中不建议使用block。
3. public:供在不受信任的公共区域使用。您不信任网络上的其他计算机，但您可以允许某些指定服务的入站流量。
4. external:当你的系统作为网关或路由器时，在启用NAT伪装的外部网络上使用。只允许某些指定服务的入站流量。
5. internal:当您的系统充当网关或路由器时，用于内部网络,网络上的其他系统通常是可信的。只允许某些指定服务的入站流量。
6. dmz:用于位于您的非军事化区域的服务器，这些服务器对您的网络的其余部分的访问是有限的。只允许某些指定服务的入站流量。
7. work:用于工作站服务器。网络上的其他计算机通常是可信的。只允许某些指定服务的入站流量。
8. home:用于家用服务器。网络上的其他计算机通常是可信的。只允许某些指定服务的入站流量。
9. trusted:接受所有网络连接。信任网络中的所有入站流量。

防火墙服务

• 服务由协议和对应端口组成 协议：tcp/udp 端口：port 组成比如：http tcp/80，ftp tcp/21,20,nfs tcp/2049,mysql tcp/3306等等

Firewalld使用两个独立的配置集

• 运行时配置集：当前内存中加域运行的防火墙配置，掉电、重启丢失。

查看当前zone的运行配置集

• 永久配置集：firewalld守护进程启动时加载永久配置，永久配置集保存在文件中，永久有效

注意：默认情况下，当使用firwall-cmd实用程序更改Firewalld配置时，更改将应用于运行时配置,想要使更改永久生效，需要加上--permanent选项附加到命令中。

Firewalld防火墙应用保存配置方式

1）将当前运行的配置集 一次性保存到永久配置文件中

2）在添加运行配置规则时加上--permanent选项

Firewalld基本管理

1）查看当前已放行的入站服务

2）查看当前的网卡设备及所在的zone

3）查看接口与zone的绑定关系

4）查看指定zone的规则集

5）放行入站服务流量：添加samba文件共享入站服务流量

6）通过协议和端口号添加：对于不在服务中预定义的服务，可以使用协议和端口号的方式添加放行的入站流量

求关注，转发，点赞，收藏！

总结

Firewalld作为Centos系统内置的防火墙软件，可以限制网络流量访问，性能上不能满足高防要求。

请关注，不迷路，跟老邓学IT，技术成就梦想！