Firewalld防火墙是一种监视和过滤传入和传出网络流量的方法。它通过定义一组安全规则来确定是否允许或阻止特定的流量。正确配置的防火墙是整个系统安全性的最重要方面之一。
在CentOS 8中,iptables被nftables替换为firewalld守护进程的默认防火墙后端服务。
CentOS 8自带firewalld的防火墙守护进程。它是一个具有D-Bus接口的完整解决方案,允许您动态地管理系统的防火墙。
如何配置和管理CentOS 8上的防火墙呢?
前提条件:运行防火墙服务
Firewalld基本概念zones区域:zones区域与接口或者来源网络绑定,区域中包含规则,区域中的接口或来源网络流量受对应区域的规则限制,因此区域是预定义的规则集,指定您的计算机所连接的网络的信任级别。可以将网络接口和源分配到专区services服务:区域内应用的预定义规则,它定义了允许特定服务传入的入站流量。
基于您将配置的区域和服务,您可以控制允许或阻止来自系统的哪些流量
Firewalld防火墙管理命令行实用工具:firewall-cmd 可以使用firwalld-cmd命令行实用程序配置和管理Firewalld。
Firewalld默认区域drop:删除所有的传入的入站流量,只允许向外的出站流量。block:所有的传入的入站流量都被IPv4的icmp-host-prohibited,IPv6的icmp6-adm-prohibited消息拒绝。只允许出站流量,与drop不同的是给客户端回复消息拒绝,实际应用中不建议使用block。public:供在不受信任的公共区域使用。您不信任网络上的其他计算机,但您可以允许某些指定服务的入站流量。external:当你的系统作为网关或路由器时,在启用NAT伪装的外部网络上使用。只允许某些指定服务的入站流量。internal:当您的系统充当网关或路由器时,用于内部网络,网络上的其他系统通常是可信的。只允许某些指定服务的入站流量。dmz:用于位于您的非军事化区域的服务器,这些服务器对您的网络的其余部分的访问是有限的。只允许某些指定服务的入站流量。work:用于工作站服务器。网络上的其他计算机通常是可信的。只允许某些指定服务的入站流量。home:用于家用服务器。网络上的其他计算机通常是可信的。只允许某些指定服务的入站流量。trusted:接受所有网络连接。信任网络中的所有入站流量。
防火墙服务
Firewalld使用两个独立的配置集
查看当前zone的运行配置集
注意:默认情况下,当使用firwall-cmd实用程序更改Firewalld配置时,更改将应用于运行时配置,想要使更改永久生效,需要加上–permanent选项附加到命令中。
Firewalld防火墙应用保存配置方式
1)将当前运行的配置集 一次性保存到永久配置文件中
2)在添加运行配置规则时加上–permanent选项
Firewalld基本管理
1)查看当前已放行的入站服务
2)查看当前的网卡设备及所在的zone
3)查看接口与zone的绑定关系
4)查看指定zone的规则集
5)放行入站服务流量:添加samba文件共享入站服务流量
6)通过协议和端口号添加:对于不在服务中预定义的服务,可以使用协议和端口号的方式添加放行的入站流量
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: lzxmw777
