在Linux操作系统(例如CentOS 7和Centos Linux)上,FireWalld是默认的防火墙管理工具。它通过Iptables命令充当Linux内核NetFilter框架的前端,提供了防火墙功能作为桌子服务的替代方案。 FireWalld这个名字遵循命名系统守护程序的UNIX大会,加上字母“ D”,该字母“ D”(用Python编写)。
自CENTOS 7/8以来,iPtables服务的启动脚本被忽略了。并且需要使用防火墙而不是Iptables服务。以类似的方式,在RHEL 7/8中,默认值是使用FireWalld来管理NetFilter子系统,但是基础命令仍然是可iptables。
FireWalld是用于实现持续网络流量规则的Iptables的前端控制器。它提供了命令行和图形接口。
防火墙和iptables的比较:
1。FireWalld可以动态修改单个规则或管理规则集,从而允许对规则进行更新,而不会打破现有的会话和连接。在iPtables中,在修改规则后,必须完全刷新它才能生效。
2。Firewalld使用区域和服务而不是链条规则。
3。拒绝了FireWalld默认值,您需要以后将其设置为发布。默认情况下允许使用iptables,您需要拒绝它以限制它。
4。防火墙本身没有防火墙的功能,但是就像需要通过内核的NetFilter实现iPtables一样。也就是说,FireWalld与Iptables相同,它们的作用是维护规则,而规则的真正使用是内核的NetFilter。只有防火墙和iptables的结果以及使用方法是不同的!
FireWalld是iPtables的包装纸,使管理Iptables规则更加容易。它不是iPtables的替代品,尽管iPtables命令仍然可以用于防火墙,但建议仅将防火墙命令用于FireWalld。
如何在Linux上安装FireWalld
如果您的CentOS没有Firewalld,则可以使用以下命令安装它,然后启用 +启动相同。
sudo yum install firewalld sudo systemctl enable firewalld sudo firewall-cmd --state
很少有FireWalld基本命令:
所有命令都需要root或sudo权利用户。
systemctl start firewalld # to start the FirewallD service on the system
systemctl restart firewalld # For restarting the service
systemctl enable firewalld #to enable it at boot level, thus it automatically start when a system booted up.
systemctl stop firewalld # Stop the service
systemctl disable firewalld #disable the firewall
firewall-cmd --state #View the running status
firewall-cmd --zone=public --list-ports #View open port
命令在Centos Linux上打开网站的每日端口
以下是可以用来打开CentOS Linux服务器上一些常见端口的命令
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
以同样的方式,我们可以打开任何端口,正是您必须使用要打开的端口编号要替换上面命令中的端口号。
打开UDP端口
就像TCP端口一样,我们可以使用以下命令打开UDP端口以供公共访问:
firewall-cmd –zone = public –add-port = 443/udp - 永久
命令含义:
--add-port=80/tcp #Add port, this is used to specify which port/communication protocol has to open --permanent #Permanently effective, no failure after restarting this parameter --zone #Used to specific networking environments public, private or local
让我们在网络环境之上更多地谈谈:
通过将网络分为不同的区域,开发了不同区域之间的访问控制策略,以控制不同程序区域之间的数据流。
例如,互联网是一个不值得信赖的领域,而内部网络是一个备受信任的领域。
网络安全模型可以首次选择在安装,初始启动和网络连接期间初始化。该模型描述了与主机连接的整个网络环境的信任级别,并定义了如何处理新连接。
初始化区域:
堵塞:任何传入的网络数据包都将被阻止;
工作:相信网络上的其他计算机不会损害您的计算机;
家:告诉网络上的其他计算机不会损害您的计算机;
公共区域(民众):不要信任网络上的任何计算机,只选择接受传入的网络连接。
孤立区(DMZ):也称为非军事区,内部和外部网络之间的网络层充当缓冲区。对于孤立的区域,仅选择接受传入的网络连接。
信任区(值得信赖):所有网络连接都是可以接受的。
降低:任何传入的网络连接都将被拒绝。
内部的:信任网络上的其他计算机而不会损害您的计算机。仅选择接受传入的网络连接。
外部的:不要信任网络上的其他计算机,并会损害您的计算机。仅选择接受传入的网络连接。
默认区域的Firewalld是民众。
Firewalld配置方法
有三种主要的防火墙配置方法:firewall-config(图形工具),防火墙-CMD(命令行工具)和XML文件的直接编辑。
在此处安装图形工具以管理防火墙是命令:
yum install firewalld firewall-config
使用XML配置了FireWalld。除非您有非常特殊的配置,否则不必与它们打交道,应该使用FireWalld-CMD。
配置文件:
/usr/lib/firewalld#save默认配置以避免修改它们。
/etc/firewalld#save系统配置文件,您将覆盖默认配置。
/usr/lib/firewalld/Zone/-FireWalld默认提供了九个区域配置文件:block.xml,dmz.xml,drop.xml,external.xml,home.xml,internal.xml,public.xml,public.xml,trust.xml,work.xml,work.xml
在此Linux防火墙周围播放的其他命令很少。
防火墙-CMD –HELP#展示所有可用的防火墙命令
防火墙-CMD –version
防火墙-CMD - 州
防火墙-CMD - 活动活动 #查看网络接口使用的区域。
firewall-cmd –zone = public - list-all #显示指定区域中的所有配置。
防火墙-CMD - 列表 - 全区域 #清单所有区域配置
防火墙-CMD - GET-DEFAULT-ZONE #View默认区域
FireWall-CMD –set-default-Zone =内部 #设置默认区域
FireWall-CMD - Interface = ETH0 #查看指定接口所属的区域。
FireWall-CMD –Zone = public –add-interface = ETH0 #ADD接口与区域,默认接口都是公共的,永久有效的Plus-永恒的, 然后重新加载
#需要永久有效,添加-永恒的
防火墙-CMD –Panic-on | Off#重点|打开所有软件包
防火墙-CMD - Query-Panic#查看是否拒绝
防火墙-CMD –Reload#更新防火墙规则而无需断开连接
防火墙-CMD –Complete-Reload#sibilar重新启动更新规则
FireWall-CMD –Zone = DMZ - List-Ports#查看所有开放端口
FireWall-CMD –Zone = DMZ –ADD-PORT = 8080/TCP#ADD端口到该区域
防火墙-CMD - 网络服务#查看默认可用服务
firewall-cmd –zone =区域 - (添加|删除) - 服务= http - 永久#毫无启用或禁用HTTP服务
firewall-cmd –zone = public –add-port = 123456/tcp - 永久性#ADD TCP流量123456
FireWall-CMD –Zone = public - add-forward-port = port = 80:proto = tcp:toport = 123456#从端口80到123456的流量
与服务一起使用
FireWalld拥有默认服务,可用于允许来自任何特定的Web应用程序或网络服务的流量。所有默认服务文件都位于/usr/lib/firewalld/services以及用于防火墙的用户创建的服务文件/etc/firewalld/services。
嘉宾作者:Amreno Namish
其他文章:
