firewalld防火墙基础

1.firewalld概述：

firewalld防火墙是centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。

• 支持IPv4、IPv6防火墙设置以及以太网桥
• 支持服务或应用程序直接添加防火墙规则接口
• 拥有两种配置模式：临时模式、永久模式

firewalld和iptables都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统（属于内核态）来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。

2. Firewalld和iptables的区别

     2.1对规则的设置不同

• iptables主要是基于接口（网卡），来设置规则，从而判断网络的安全性。
• firewalld是基于区域，根据不同的区域来设置不同的规则，从而保证网络的安全。与硬件防火墙的设置相类似。

• 当/etc/firewalld/中没有相关区域的配置文件时，才会加载/usr/lib/firewalld/中的配置文件。

     2.2，配置文件不同

• iptables在/etc/sysconfig/iptables中储存配置；

• firewalld 将配置储存在/etc/firewalld/（优先加载）和/usr/lib/firewalld/（默认的配置文件）中的各种XML文件里。

  • 当/etc/firewalld/中没有相关区域的配置文件时，/etc/firewalld/zones  优先寻找firewalld权限之后，才会加载/usr/lib/firewalld/中的配置文件。
  • 在vim /etc/firewalld/zones/public.xml  文件中
  • 

      2.3、对规则的修改：

• 使用iptables每一个单独更改，意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则。
• 使用firewalld却不会再创建任何新的规则，仅仅运行规则中的不同之处。因此firewalld可以在运行时间内，改变设置而不丢失现行连接。

       2.4、防火墙类型不同：

• iptables防火墙类型为静态防火墙
• firewalld防火墙类型为动态防火墙

3.firewalld区域的概念

firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

这些区域配置文件存在于/usr/lib/firewalld/zones目录中，还有一个目录/etc/firewalld/zones。firewalld使用规则时，会首先到/etc/firewalld/目录中查找，如果可以找到就直接使用，找不到会继续到/usr/lib/firewalld/目录中查找。编写xml文件也可以修改规则

4.firewalld防火墙定义了9个区域

这9个区域相当于安全门

firewalld数据处理流程

• 若源地址关联到特定的区域，则执行该区域所指定的规则
• 若源地址未关联到特定的区域，则使用传入网络接口的区域 并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该 区域所指定的规则

5. Firewalld防火墙的配置方法

6.firewall-config 图形化工具

在命令行输入”firewall-config“，回车后会弹出图形化管理工具。生产环境一般只有字符界面，不使用这种方法。

 

7.firewall-cmd 命令行工具

1. 查看默认区域内允许访问的所有服务
firewall-cmd --list-service
 
 
2. 添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
 
 
3. 查看public 区域已配置规则
firewall-cmd --list-all --zone=public
 
 
4. 删除public 区域的httpd 服务
firewall-cmd --remove-service=http --zone=public
 
 
5. 同时添加httpd、https 服务到默认区域，设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http,https,ftp}--zone-internal
firewall-cmd --reload    
firewall-cmd --list-all    

注：
1. 添加使用 --permanent选项表示设置成永久生效，需要重新启动firewalld服务或执行firewall-cmd --reload命令，重新加载防火墙规则时才会生效。若不带有此选项，表示用于设置运行时规则，但是这些规则在系统或firewalld服务重启、停止时配置将失效。
2. --runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性配置
端口管理
 

8.Firewalld两种配置模式

运行时和永久配置的分离使得可以在运行时进行评估和测试。运行时配置仅在下一次重新加载和重新启动服务或重新引导系统之前才有效。然后，将再次加载永久配置。使用运行时环境，可以将运行时用于仅在有限时间内激活的设置。如果运行时配置已用于评估，并且已完成且可以正常运行，则可以将此配置保存到永久环境中。

Iptables在/etc/sysconfig/iptables-config文件中存储配置。firewalld在/etc/firewalld/下存储XML配置文件。

 运行时配置（临时配置）

运行时配置，实时生效，不会中断现有连接。重启后丢失

查看和设置默认区域

--get-default-zone ：显示当前默认区域

--set-default-zone=< zone> ：设置默认区域

--get-active-zones ：显示当前正在使用的区域及其网卡接口

  .永久配置

永久配置不立即生效，需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失，永久存在。

 10.设置SNAT规则和DNAT规则

SNAT策略：

[root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.72.0/24 -j SNAT --to-source 12.0.0.254
 success
 [root@yuji ~]# iptables -t nat -nL POSTROUTING
 Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination         
 SNAT       all  --  192.168.72.0/24      0.0.0.0/0            to:12.0.0.254
 

DNAT策略：

 [root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10
 success
 [root@yuji ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT)
 target     prot opt source               destination         
 DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.72.10