在Linux操作系統(例如CentOS 7和Centos Linux)上,FireWalld是默認的防火牆管理工具。它通過Iptables命令充當Linux內核NetFilter框架的前端,提供了防火牆功能作為桌子服務的替代方案。 FireWalld這個名字遵循命名系統守護程序的UNIX大會,加上字母“ D”,該字母“ D”(用Python編寫)。
自CENTOS 7/8以來,iPtables服務的啟動腳本被忽略了。並且需要使用防火牆而不是Iptables服務。以類似的方式,在RHEL 7/8中,默認值是使用FireWalld來管理NetFilter子系統,但是基礎命令仍然是可iptables。
FireWalld是用於實現持續網絡流量規則的Iptables的前端控制器。它提供了命令行和圖形接口。
防火牆和iptables的比較:
1。FireWalld可以動態修改單個規則或管理規則集,從而允許對規則進行更新,而不會打破現有的會話和連接。在iPtables中,在修改規則後,必須完全刷新它才能生效。
2。Firewalld使用區域和服務而不是鏈條規則。
3。拒絕了FireWalld默認值,您需要以後將其設置為發布。默認情況下允許使用iptables,您需要拒絕它以限制它。
4。防火牆本身沒有防火牆的功能,但是就像需要通過內核的NetFilter實現iPtables一樣。也就是說,FireWalld與Iptables相同,它們的作用是維護規則,而規則的真正使用是內核的NetFilter。只有防火牆和iptables的結果以及使用方法是不同的!
FireWalld是iPtables的包裝紙,使管理Iptables規則更加容易。它不是iPtables的替代品,儘管iPtables命令仍然可以用於防火牆,但建議僅將防火牆命令用於FireWalld。
如何在Linux上安裝FireWalld
如果您的CentOS沒有Firewalld,則可以使用以下命令安裝它,然後啟用 +啟動相同。
sudo yum install firewalld sudo systemctl enable firewalld sudo firewall-cmd --state
很少有FireWalld基本命令:
所有命令都需要root或sudo權利用戶。
systemctl start firewalld # to start the FirewallD service on the system
systemctl restart firewalld # For restarting the service
systemctl enable firewalld #to enable it at boot level, thus it automatically start when a system booted up.
systemctl stop firewalld # Stop the service
systemctl disable firewalld #disable the firewall
firewall-cmd --state #View the running status
firewall-cmd --zone=public --list-ports #View open port
命令在Centos Linux上打開網站的每日端口
以下是可以用來打開CentOS Linux服務器上一些常見端口的命令
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
以同樣的方式,我們可以打開任何端口,正是您必須使用要打開的端口編號要替換上面命令中的端口號。
打開UDP端口
就像TCP端口一樣,我們可以使用以下命令打開UDP端口以供公共訪問:
firewall-cmd –zone = public –add-port = 443/udp - 永久
命令含義:
--add-port=80/tcp #Add port, this is used to specify which port/communication protocol has to open --permanent #Permanently effective, no failure after restarting this parameter --zone #Used to specific networking environments public, private or local
讓我們在網絡環境之上更多地談談:
通過將網絡分為不同的區域,開發了不同區域之間的訪問控制策略,以控制不同程序區域之間的數據流。
例如,互聯網是一個不值得信賴的領域,而內部網絡是一個備受信任的領域。
網絡安全模型可以首次選擇在安裝,初始啟動和網絡連接期間初始化。該模型描述了連接到主機的整個網絡環境的信任級別,並定義瞭如何處理新連接。
初始化區域:
堵塞:任何傳入的網絡數據包都將被阻止;
工作:相信網絡上的其他計算機不會損害您的計算機;
家:告訴網絡上的其他計算機不會損害您的計算機;
公共區域(民眾):不要信任網絡上的任何計算機,只選擇接受傳入的網絡連接。
孤立區(DMZ):也稱為非軍事區,內部和外部網絡之間的網絡層充當緩衝區。對於孤立的區域,僅選擇接受傳入的網絡連接。
信任區(值得信賴):所有網絡連接都是可以接受的。
降低:任何傳入的網絡連接都將被拒絕。
內部的:信任網絡上的其他計算機而不會損害您的計算機。僅選擇接受傳入的網絡連接。
外部的:不要信任網絡上的其他計算機,並會損害您的計算機。僅選擇接受傳入的網絡連接。
默認區域的Firewalld是民眾。
Firewalld配置方法
有三種主要的防火牆配置方法:firewall-config(圖形工具),防火牆-CMD(命令行工具)和XML文件的直接編輯。
在此處安裝圖形工具以管理防火牆是命令:
yum install firewalld firewall-config
使用XML配置了FireWalld。除非您有非常特殊的配置,否則不必與它們打交道,應該使用FireWalld-CMD。
配置文件:
/usr/lib/firewalld#save默認配置以避免修改它們。
/etc/firewalld#save系統配置文件,您將覆蓋默認配置。
/usr/lib/firewalld/Zone/-FireWalld默認提供了九個區域配置文件:block.xml,dmz.xml,drop.xml,external.xml,home.xml,internal.xml,public.xml,public.xml,trust.xml,work.xml ,work.xml
在此Linux防火牆周圍播放的其他命令很少。
防火牆-CMD –HELP#展示所有可用的防火牆命令
防火牆-CMD –version
防火牆-CMD - 州
防火牆-CMD - 活動活動 #查看網絡接口使用的區域。
firewall-cmd –zone = public - list-all #顯示指定區域中的所有配置。
防火牆-CMD - 列表 - 全區域 #清單所有區域配置
防火牆-CMD - GET-DEFAULT-ZONE #View默認區域
FireWall-CMD –set-default-Zone =內部 #設置默認區域
FireWall-CMD - Interface = ETH0 #查看指定接口所屬的區域。
FireWall-CMD –Zone = public –add-interface = ETH0 #ADD接口與區域,默認接口都是公共的,永久有效的Plus-永恆的, 然後重新加載
#需要永久有效,添加-永恆的
防火牆-CMD –Panic-on | Off#重點|打開所有軟件包
防火牆-CMD - Query-Panic#查看是否拒絕
防火牆-CMD –Reload#更新防火牆規則而無需斷開連接
防火牆-CMD –Complete-Reload#sibilar重新啟動更新規則
FireWall-CMD –Zone = DMZ - List-Ports#查看所有開放端口
FireWall-CMD –Zone = DMZ –ADD-PORT = 8080/TCP#ADD端口到該區域
防火牆-CMD - 網絡服務#查看默認可用服務
firewall-cmd –zone =區域 - (添加|刪除) - 服務= http - 永久#毫無啟用或禁用HTTP服務
firewall-cmd –zone = public –add-port = 123456/tcp - 永久性#ADD TCP流量123456
FireWall-CMD –Zone = public - add-forward-port = port = 80:proto = tcp:toport = 123456#從端口80到123456的流量
與服務一起使用
FireWalld擁有默認服務,可用於允許來自任何特定的Web應用程序或網絡服務的流量。所有默認服務文件都位於/usr/lib/firewalld/services以及用於防火牆的用戶創建的服務文件/etc/firewalld/services。
嘉賓作者:Amreno Namish
其他文章:
