Linux操作系統(tǒng)firewalld防火墻目錄/Contents010203firewalld防火墻概述firewalld防火墻配置管理firewalld防火墻富規(guī)則管理01firewalld防火墻概述firewalld防火墻Firewalld是一個動態(tài)防火墻管理器，它是nftables框架的前端工具。在推出nftables之前，作為一種改進(jìn)iptables服務(wù)的替代方案，在RHEL8、RHEL9中，firewalld仍然是推薦的防火墻工具firewalld是一個可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程，其提供一個帶有D-Bus接口的、動態(tài)可定制的、基于主機(jī)的防火墻。如果是動態(tài)的，它可在每次修改規(guī)則時啟用、修改和刪除規(guī)則，而不需要在每次修改規(guī)則時重啟防火墻守護(hù)進(jìn)程。firewalld使用區(qū)（zone）和服務(wù)（service）的概念來簡化流量管理。zones是預(yù)定義的規(guī)則集。網(wǎng)絡(luò)接口和源可以分配給區(qū)。允許的流量取決于您計算機(jī)連接到的網(wǎng)絡(luò)，并分配了這個網(wǎng)絡(luò)的安全級別。防火墻服務(wù)是預(yù)定義的規(guī)則，覆蓋了允許特定服務(wù)進(jìn)入流量的所有必要設(shè)置，并在區(qū)中應(yīng)用。服務(wù)使用一個或多個端口或地址進(jìn)行網(wǎng)絡(luò)通信。防火墻會根據(jù)端口過濾通訊。要允許服務(wù)的網(wǎng)絡(luò)流量，必須打開其端口。firewalld會阻止未明確設(shè)置為開放的端口上的所有流量。一些區(qū)（如可信區(qū)）默認(rèn)允許所有流量。firewalld通過將網(wǎng)絡(luò)流量劃分為多個區(qū)域來實現(xiàn)靈活的安全策略管理。每個區(qū)域都可以獨(dú)立配置開放或關(guān)閉的端口，從而適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和安全需求。預(yù)定義區(qū)域是根據(jù)網(wǎng)絡(luò)的信任級別和使用場景預(yù)先配置好的模板，例如阻塞（block）、工作（work）、家庭（home）、公共（public）等區(qū)域，每個區(qū)域都包含一組默認(rèn)的防火墻規(guī)則和策略，幫助用戶快速應(yīng)用適當(dāng)?shù)陌踩O(shè)置。通過將網(wǎng)絡(luò)劃分成不同的區(qū)域，制定出不同區(qū)域之間的訪問控制策略來控制不同程序區(qū)域間傳送的數(shù)據(jù)流。預(yù)定義區(qū)域firewalld的配置文件存儲在兩個主要位置：/etc/firewalld和/usr/lib/firewalld。如果兩個位置存在名稱相同的配置文件，系統(tǒng)將優(yōu)先使用/etc/firewalld中的版本。這種設(shè)計允許管理員在不影響系統(tǒng)默認(rèn)設(shè)置的情況下，覆蓋默認(rèn)區(qū)域和配置，從而確保自定義的更改不會被軟件包更新所覆蓋。配置文件存儲firewalld區(qū)域與配置管理02firewalld防火墻配置管理系統(tǒng)管理員可以通過多種方式與firewalld交互，以滿足不同的管理需求。直接編輯/etc/firewalld中的配置文件適合熟悉配置文件結(jié)構(gòu)的管理員，這種方式可以進(jìn)行詳細(xì)的自定義設(shè)置。使用firewall-config圖形化工具則為管理員提供了直觀的界面，方便進(jìn)行復(fù)雜的配置操作，尤其適合初學(xué)者或需要快速調(diào)整的場景。多種配置方式

firewall-cmd是firewalld最常用的命令行工具，支持動態(tài)修改防火墻規(guī)則，允許管理員在不重啟服務(wù)的情況下立即生效更改。默認(rèn)情況下，firewall-cmd設(shè)置的規(guī)則僅在運(yùn)行時生效，系統(tǒng)重啟或服務(wù)重載后將失效。如果希望規(guī)則永久生效，需要在命令中添加--permanent參數(shù)。此外，管理員可以通過--reload參數(shù)手動重新加載配置，使永久生效模式的更改立即生效。這種靈活的配置方式使得firewalld既適合快速調(diào)整，也適合長期穩(wěn)定的防火墻管理。命令行工具特性firewalld防火墻配置管理firewalld防火墻配置管理服務(wù)可以是本地端口、協(xié)議、源端口和目的地列表，并在啟用了服務(wù)時自動載入防火墻幫助程序模塊列表。使用服務(wù)可節(jié)省用戶時間，因為它們可以完成一些任務(wù)，如打開端口、定義協(xié)議、啟用數(shù)據(jù)包轉(zhuǎn)發(fā)等等，而不必在另外的步驟中設(shè)置所有任務(wù)。firewalld.service手冊中描述了服務(wù)配置選項和通用文件信息。服務(wù)通過單獨(dú)的XML配置文件來指定，這些文件采用以下格式命名：service-name.xml。協(xié)議名稱優(yōu)先于firewalld中的服務(wù)或應(yīng)用程序名稱。可以使用圖形化的firewall-config工具、firewall-cmd和firewall-offline-cmd來添加和刪除服務(wù)?；蛘呔庉?etc/firewalld/services/目錄中的XML文件。如果用戶未添加或更改服務(wù)，則在/etc/firewalld/services/中沒有相應(yīng)的XML文件。如果要添加或更改服務(wù)，/usr/lib/firewalld/services/目錄中的文件可作用作模板。firewalld防火墻配置管理使用firewall-cmd命令時，只是在運(yùn)行時生效，若要重新啟動或重新加載firewalld服務(wù)單元后永久生效，需要指定permanent參數(shù)。序號選項作用1--get-default-zone查詢當(dāng)前默認(rèn)區(qū)域2--set-default-zone=<區(qū)域名稱>設(shè)置默認(rèn)的區(qū)域，使其永久有效3--get-zones顯示可用的區(qū)域4--get-services顯示預(yù)先定義的服務(wù)5--get-active-zones顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱6--add-source=CIDR將源自此IP地址或子網(wǎng)的的所有流量路由到指定區(qū)域，如果未提供--zone=選項，則使用默認(rèn)區(qū)域7--remove-source=CIDR從區(qū)域中刪除用于路由來自IP地址或網(wǎng)絡(luò)的所有流量的規(guī)則。如果未提供--zone=選項，則使用默認(rèn)區(qū)域8--add-interface=<網(wǎng)絡(luò)接口名稱>將指定的網(wǎng)絡(luò)接口添加到特定的防火墻區(qū)域，使該接口的流量受該區(qū)域的防火墻規(guī)則控制9--change-interface=<網(wǎng)絡(luò)接口名稱>更改指定的網(wǎng)絡(luò)接口，使其關(guān)聯(lián)到新的防火墻區(qū)域。與--add-interface不同，--change-interface會移除該接口之前的區(qū)域分配firewalld防火墻配置管理使用firewall-cmd命令時，只是在運(yùn)行時生效，若要重新啟動或重新加載firewalld服務(wù)單元后永久生效，需要指定permanent參數(shù)。序號選項作用10--list-all列出當(dāng)前默認(rèn)區(qū)域的所有防火墻規(guī)則11--list-all-zones列出所有區(qū)域的防火墻規(guī)則12--add-service=<服務(wù)名>向指定區(qū)域添加一個服務(wù)，允許該服務(wù)的流量通過防火墻。如果未提供--zone=選項，則使用默認(rèn)區(qū)域13--add-port=<端口號/協(xié)議>向指定區(qū)域添加一個端口及其協(xié)議，允許該端口的流量通過防火墻。如果未提供--zone=選項，則使用默認(rèn)區(qū)域14--remove-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量通過。從指定區(qū)域中移除一個服務(wù)，阻止該服務(wù)的流量通過防火墻。如果未提供--zone=選項，則使用默認(rèn)區(qū)域15--remove-port=<端口號/協(xié)議>從指定區(qū)域中移除一個端口及其協(xié)議，阻止該端口的流量通過防火墻。如果未提供--zone=選項，則使用默認(rèn)區(qū)域16--reload重新加載firewalld的配置，使所有持久化的配置更改生效firewalld防火墻配置管理使用區(qū)目標(biāo)設(shè)定傳入流量的默認(rèn)行為，對于每個區(qū)，可以設(shè)置一種處理尚未進(jìn)一步指定的傳入流量的默認(rèn)行為。此行為是通過設(shè)置區(qū)的目標(biāo)來定義，主要有三個選項：選項功能ACCEPT接受除特定規(guī)則不允許的所有傳入的數(shù)據(jù)包。REJECT拒絕除特定規(guī)則允許的所有傳入的數(shù)據(jù)包。當(dāng)firewalld拒絕數(shù)據(jù)包時，會告知源機(jī)器有關(guān)拒絕的信息。DROP丟棄除特定規(guī)則允許的所有傳入的數(shù)據(jù)包。當(dāng)firewalld丟棄數(shù)據(jù)包時，不會告知源機(jī)器有關(guān)丟棄數(shù)據(jù)包的信息。列出特定區(qū)的信息以查看默認(rèn)目標(biāo)：firewall-cmd--zone=zone-name--list-all在區(qū)中設(shè)置一個新目標(biāo)：firewall-cmd--permanent--zone=zone-name--set-target=<default|ACCEPT|REJECT|DROP>firewalld防火墻配置管理啟動firewalld，請以root用戶身份輸入以下命令：systemctlunmaskfirewalldsystemctlstartfirewalld確保firewalld在系統(tǒng)啟動時自動啟動，請以root用戶身份輸入以下命令：systemctlenablefirewalld停止firewalld，需要以root用戶身份輸入以下命令：systemctlstopfirewalld防止firewalld在系統(tǒng)啟動時自動啟動：systemctldisablefirewalld訪問firewalldD-Bus接口時不啟動firewalld，并且其他服務(wù)需要firewalld時也未啟動firewalld：systemctlmaskfirewalldfirewalld防火墻配置管理要在不同的區(qū)中工作，可以使用--zone=zone-name選項。例如，允許在區(qū)public中使用SSH服務(wù)：firewall-cmd--add-service=ssh--zone=public系統(tǒng)管理員在其配置文件中為網(wǎng)絡(luò)接口分配區(qū)域。如果接口沒有被分配給指定區(qū)，它將被分配給默認(rèn)區(qū)。每次重啟firewalld服務(wù)后，firewalld加載默認(rèn)區(qū)的設(shè)置，使其處于活動狀態(tài)。設(shè)置新的默認(rèn)區(qū)：firewall-cmd--set-default-zonezone-name區(qū)也可以通過區(qū)配置文件創(chuàng)建。如果需要創(chuàng)建新區(qū)，但想從不同區(qū)重復(fù)使用設(shè)置，這種方法比較有效。firewalld區(qū)配置文件包含區(qū)的信息。這些區(qū)描述、服務(wù)、端口、協(xié)議、icmp-blocks、masquerade、forward-ports和豐富的語言規(guī)則采用XML文件格式。文件名必須是zone-name.xml，其中zone-name的長度目前限制為17個字符。區(qū)配置文件位于/usr/lib/firewalld/zones/和/etc/firewalld/zones/目錄中。firewalld防火墻配置管理默認(rèn)情況下，防火墻服務(wù)firewalld會在系統(tǒng)上安裝。使用firewalldCLI接口來檢查該服務(wù)是否正在運(yùn)行。查看firewalld服務(wù)的當(dāng)前狀態(tài)：[root@server~]#systemctlstatusfirewalld顯示firewalld設(shè)置的完整概述使用--list-all選項：[root@server~]#firewall-cmd--list-allfirewalld使用區(qū)來管理流量。如果沒有用--zone選項來指定區(qū)，該命令將在分配給活躍網(wǎng)絡(luò)接口和連接的默認(rèn)區(qū)中有效。指定顯示設(shè)置的區(qū)，在firewall-cmd--list-all命令中添加--zone=zone-name參數(shù)：[root@server~]#firewall-cmd--list-all--zone=home查看當(dāng)前區(qū)中允許哪些服務(wù)：[root@server~]#firewall-cmd--list-servicesfirewalld防火墻配置管理使用區(qū)管理傳入的流量，根據(jù)其源管理傳入的流量，并將其路由到不同的區(qū)，以允許或禁止該流量可訪問的服務(wù)。源可以是一個使用CIDR格式的IP地址或IP掩碼。允許來自受信任區(qū)中5的所有傳入的流量：firewall-cmd--zone=trusted--add-source=5啟用基于源端口的流量排序，使用--add-source-port選項來指定源端口。還可以將其與--add-source選項結(jié)合使用，將流量限制在某個IP地址或IP范圍。firewall-cmd--zone=zone-name--add-source-port=<port-name>/<tcp|udp|sctp|dccp>03firewalld防火墻富規(guī)則管理firewalld富規(guī)則管理富規(guī)則概述：firewalld的富規(guī)則功能為管理員提供了一種強(qiáng)大的表達(dá)性語言，用于定義比普通規(guī)則更細(xì)粒度的防火墻規(guī)則。通過富規(guī)則，管理員可以對規(guī)則中的幾乎每個元素進(jìn)行進(jìn)一步細(xì)化，例如指定特定的時間段、協(xié)議類型、網(wǎng)絡(luò)接口、源地址和目標(biāo)地址等。這種靈活性使得管理員能夠創(chuàng)建復(fù)雜的防火墻策略，以滿足特定的安全需求和網(wǎng)絡(luò)環(huán)境。富規(guī)則的應(yīng)用場景：富規(guī)則允許用戶基于多種條件設(shè)置復(fù)雜的防火墻策略。例如，可以限制某些服務(wù)僅在特定時間段內(nèi)允許訪問，或者根據(jù)源地址和目標(biāo)地址的組合來控制流量。這種細(xì)粒度的控制能力使得firewalld能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，為系統(tǒng)提供更高級別的安全保障。富規(guī)則還支持日志記錄和審計功能，幫助管理員更好地監(jiān)控和分析網(wǎng)絡(luò)流量。富規(guī)則的配置方法：管理員可以通過firewall-cmd命令行工具來添加、刪除或查詢富規(guī)則。例如，使用--add-rich-rule選項可以向指定區(qū)域添加富規(guī)則，而--remove-rich-rule選項則用于刪除規(guī)則。這些操作使得管理員能夠靈活地管理復(fù)雜的防火墻策略，同時確保規(guī)則的準(zhǔn)確性和有效性。firewalld富規(guī)則管理對于firewalld的基本語法不夠的情況，還可以添加富規(guī)則來編寫復(fù)雜的規(guī)則。富規(guī)則是一種更具表達(dá)力的語法，通過這種語言可表達(dá)firewalld的基本語法中未涵蓋的自定義防火墻規(guī)則；配置更復(fù)雜的防火墻策略。富規(guī)則基本語法rule[source][destination]service|port|prtocol|icmp-block|masquerade|forward-port[log][audit][accept|reject|drop]規(guī)則中幾乎每個單一元素都能夠以optionvalue形式來采用附加參數(shù)。firewalld防火墻管理富規(guī)則基本選項選項功能--add-rich-rule=‘<rule>’向指定區(qū)域中添加<RULE>，如果未指定區(qū)域，則向默認(rèn)區(qū)域中添加--query-rich-rule=‘<RULE>’查詢指定區(qū)域中刪除<RULE>,如果未指定區(qū)域，則向默認(rèn)區(qū)域中添加--remove-rich-rule=‘<RULE>’從指定區(qū)域中刪除<RULE>,如果未指定區(qū)域，則向默認(rèn)區(qū)域中添加--list-rich-rules輸出指定區(qū)域的所有富規(guī)則，如果未指定區(qū)域，則為默認(rèn)