linux入門系列10--firewalld防火墻管理

上一篇文章學習了用戶及檔案相關權限，本篇繼續學習防火墻技術，

防火墻作為公網與內網之間的保護屏障，對系統至關重要，防火墻又分為硬體防火墻和軟體防火墻，主要功能都是依據設定的策略對穿越防火墻的流量進行過濾，本篇主要講解Centos7系統自帶的軟體防火墻，

由于在初學階段為了避免干擾很多時候我們都是直接關閉防火墻，但在生產環境這樣做是很不安全的，因此我們需要掌握防火墻的相關配置方法，

一、Linux防火墻概述

Linux系統包含兩個層面的防火墻，一種是基于TCP/IP的流量過濾工具，另外一種是TCP Wrappers服務，前者包括iptables、firewalld等防火墻，后者是能允許或禁止Linux系統提供服務的防火墻，在更高層面保護系統的安全，

在RHEL7系統中，firewalld取代了之前版本的iptables防火墻，成為默認的防火墻，二者有很大區別，iptables的防火墻策略是交由內核層面的netfilter網路過濾器來處理的，而firewalld則是交由內核層面的nftables包過濾框架來處理，

嚴格意義上說，iptables和firewalld都不是真正的防火墻，只是用來定義防火墻策略的防火墻管理工具而已，他們都是一種服務，

防火墻管理工具主要是為了方便運維管理人員對防火墻策略進行配置和管理，這類工具思路大同小異，只要掌握一個即可，本文主要講解firewalld這款防火墻管理工具，

二、firewalld防火墻管理工具

Centos7中集成了多款防火墻工具，其中默認的是firewalld，全稱為：Dynamic Firewall Manager of Linux systems，Linux系統的動態防火墻管理器，它用于命令列界面CLI或圖形用戶界面GUI兩種管理方式，下文將分別進行介紹，

firewalld相比之前傳統的防火墻管理配置工具，它支持動態更新技術并加入了區域（zone）的概念，簡單說就是事先定義幾套防火墻策略模板，用戶根據實際場景進行選擇，從而實作策略之間的快速切換，比如設定好home和work區域的策略后，在家就選擇home區域，在公司就選擇work策略，極大提升了防火墻策略的應用效率，

firewalld中蟬蛹的區域名稱和策略規則如下：

2.1 firewall-cmd

firewall-cmd是 firewalld 防火墻配置管理工具的 CLI（命令列界面）版本，它的引數一般都是以“長格式”來提供的，它的引數較多，但是由于centos7已經支持此命令的引數補齊了，所以要多用tab鍵，下表列出常用的引數及作用，更多引數自行通過man命令進行查看，

使用firewall配置策略有兩種模式：運行時模式（runtime）、永久模式（permanent），運行時模式又稱為當前生效模式，而且隨著系統的重啟會失效，它是默認的模式，而如果需要配置永久生效，就需要添加--permanent 引數，

主要注意的是永久模式配置的策略只有重啟之后才能自動生效，如果想讓配置的策略立即生效，需要手動執行firewall-cmd --reload 命令，

2.1.1 防火墻狀態管理

如果安裝本系列教程逐步操作的話，系統以及是默認安裝了firewalld服務，如果你用的是其他系統或未安裝firewalld服務，可以通過命令自行安裝即可，安裝命令：yum install firewalld firewall-config

• 查看防火墻狀態

[root@heimatengyun ~]# firewall-cmd --state 
running
[root@heimatengyun ~]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
   Active: active (running) since Sat 2019-12-21 21:26:53 CST; 1h 31min ago
 Main PID: 915 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─915 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Dec 21 21:26:53 heimatengyun systemd[1]: Started firewalld - dynamic firewal....
Hint: Some lines were ellipsized, use -l to show in full.

可以使用firewall-cmd --state 或systemctl status firewalld查看防火墻狀態，

• 重啟防火墻服務

[root@heimatengyun ~]# systemctl restart firewalld.service 

注意等同于systemctl restart firewalld，可以省略服務后綴名，

• 停止防火墻服務

[root@heimatengyun ~]# systemctl stop firewalld
[root@heimatengyun ~]# firewall-cmd --state    
not running

• 啟動防火墻服務

[root@heimatengyun ~]# systemctl start firewalld
[root@heimatengyun ~]# firewall-cmd --state     
running

2.1.2 防火墻組態檔

組態檔說明:firewalld 存放組態檔有兩個目錄，/usr/lib/firewalld/和/etc/firewalld/，前者存放了一些默認的檔案，后者主要是存放用戶自定義的資料，所以我們添加的service或者rule都在后者下面進行，

[root@heimatengyun ~]# ls /usr/lib/firewalld/
icmptypes  services  zones
[root@heimatengyun ~]# ls /etc/firewalld/
firewalld.conf  icmptypes  lockdown-whitelist.xml  services  zones

server：存盤服務資料，就是一組定義好的規則，

zones：存盤區域規則，

firewalld.conf：默認組態檔，可以設定默認使用的區域，默認區域為 public，對應 zones目錄下的public.xml，

2.1.3 常用配置命令及案例

• 查看當前使用的區域

[root@heimatengyun ~]# firewall-cmd --get-default-zone 
public

• 查看當前使用的區域是否允許請求ssh和https協議的流量

[root@heimatengyun ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@heimatengyun ~]# firewall-cmd --zone=public --query-service=https
no

• 設定https協議流量為永久允許并立即生效

[root@heimatengyun ~]# firewall-cmd --zone=public --add-service=https
success
[root@heimatengyun ~]# firewall-cmd --zone=public --query-service=https
yes
[root@heimatengyun ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@heimatengyun ~]# firewall-cmd --reload
success

• 允許8080和8081埠流量，僅限當前生效

[root@heimatengyun ~]# firewall-cmd --zone=public --list-ports 
[root@heimatengyun ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@heimatengyun ~]# firewall-cmd --zone=public --list-ports            
8080-8081/tcp

2.2 firewall-config

firewall-config是 firewalld 防火墻配置管理工具的 GUI（圖形用戶界面）版本，幾 乎可以實作所有以命令列來執行的操作，即使沒有扎實的 Linux 命令基 礎，也完全可以通過它來妥善配置 RHEL 7 中的防火墻策略，

2.2.1 主界面

輸入命令后，將打開主界面

[root@heimatengyun ~]# firewall-config 

頂部的Configuration對應選擇是運行模式還是永久模式，

左邊Zones選項卡對應的是不同的區域，

2.2.2 配置案例

在使用 firewall-config 工具配置完防火墻策略之后，無須進行二次確認，因為只要有修改內容，它就自動進行保存，

• 配置允許當前區域中http服務流量且僅限當前有效

• 試添加一條防火墻策略規則，使其放行訪問 8080～8088 埠（TCP 協議）的流量， 并將其設定為永久生效

添加規則后，還需要reload讓配置的策略立即生效，

三、TCP Wrappers服務

TCP Wrappers是RHEL7系統中默認啟用的一款流量監控程式，它能夠根據來訪主機的地址與本機的目標服務程式作出允許或拒絕的操作，

前文已提到firewalld是基于TCP/IP 協議的流量過濾工具，而 TCP Wrappers 服務則是能允許或 禁止 Linux 系統提供服務的防火墻，從而在更高層面保護了 Linux 系統的安全運行，

TCP Wrappers 服務的防火墻策略由兩個控制串列檔案所控制，用戶可以編輯允許控制串列文 件來放行對服務的請求流量，也可以編輯拒絕控制串列檔案來阻止對服務的請求流量，

控制串列 檔案修改后會立即生效，系統將會先檢查允許控制串列檔案（/etc/hosts.allow），如果匹配到相應 的允許策略則放行流量；如果沒有匹配，則去進一步匹配拒絕控制串列檔案（/etc/hosts.deny），若 找到匹配項則拒絕該流量，如果這兩個檔案全都沒有匹配到，則默認放行流量，

3.1 配置原則

• 撰寫拒絕策略規則時，填寫的是服務名稱，而非協議名稱；

• 建議先撰寫拒絕策略規則，再撰寫允許策略規則，

3.2 常用配置引數

TCP Wrappers服務的控制串列檔案中常用的引數如下表：

3.3 案例

• 配置指定ip能遠程登錄到服務器

編輯hosts.deny檔案

[root@heimatengyun ~]# vi /etc/hosts.deny

添加：sshd:* 保存并退出，

此時退出遠程連接工具，再次遠程連接，將無法連接進去，

直接登錄虛擬機，并編輯/etc/hosts.allow檔案，允許本地電腦的ip能遠程連接服務器，

[root@heimatengyun ~]# vi /etc/hosts.allow

添加：sshd:192.168.78. 保存并退出

注意此處的192.168.78. 為你將訪問linux的ip地址，根據實際情況進行設定，本文演示的環境中取的是VMnet8的ip地址，而不是宿主機的ip，

然后再次用遠程連接工具，發現可以連接上了，

標籤：Linux

上一篇：apue 文章集錦

下一篇：rpm 程式包管理介紹