• 欢迎访问显哥博客,本网站纯属学习技术,绝无商业用途,欢迎小伙伴们共同学习!研究技术!QQ:52249909 加我QQ
  • 世界75亿人,这么小的概率,能认识你,是我一生的幸运,不妨加个QQ接触一下:52249909 加我QQ

【Linux运维架构】企业级防火墙——Firewalld

Linux架构 lixian 2年前 (2020-03-23) 431次浏览 0个评论 扫描二维码
文章目录[隐藏]

一、防火墙安全概述

在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Firewalld。
【Linux运维架构】企业级防火墙——Firewalld

需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部流出的流量默认会被允许。

firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。

二、防火墙区域管理

那么相较于传统的Iptables防火墙,firewalld支持动态更新,并加入了区域zone的概念

简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据不同的场景选择不同的策略模板,从而实现防火墙策略之间的快速切换

需要注意的是Firewalld中的区域与接口

一个网卡仅能绑定一个区域, eth0 –>A区域
但一个区域可以绑定多个网卡。A区域–>eth0 eth1 eth2
还可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。

区域

区域 默认规则策略 作用
trusted 允许所有的数据包流入流出 白名单
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 默认区域
drop 拒绝流入的流量,除非与流出的流量相关 黑名单

三、防火墙基本指令参数

zone区域相关指令

参数 作用
–get-default-zone 获取默认的区域名称
–set-default-zone=<区域名称> 设置默认的区域,使其永久生效
–get-active-zones 显示当前正在使用的区域与网卡名称
–get-zones 显示总共可用的区域
–get-zone= 新增区域

services服务相关命令

参数 作用
–get-services 列出服务列表中所有可管理的服务
–add-service= 设置默认区域允许该填加服务的流量
–remove-service= 设置默认区域不允许该删除服务的流量

Port端口相关指令

参数 作用
–add-port=<端口号/协议> 设置默认区域允许该填加端口的流量
–remove-port=<端口号/协议> 置默认区域不允许该删除端口的流量

Interface网站相关指令

参数 作用
–add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
–remove-interface=<网卡名称> 取消网卡绑定区域

sourceIP相关指令

参数 作用
–add-source= 设置默认IP允许服务的流量
–remove-source= 移除设置的默认IP允许服务的流量

其他相关指令

参数 作用
–list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
–reload 让“永久生效”的配置规则立即生效,并覆盖当前的规则

四、防火墙区域配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,需要注意firewalld的规则分为两种状态:

runtime运行时: 修改规则马上生效,但如果重启服务则失效,测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。

1.禁用与取消禁用防火墙

#禁用防火墙
[root@web02 ~]# systemctl mask iptables.service 
Created symlink from /etc/systemd/system/iptables.service to /dev/null.

#取消禁用防火墙
[root@web02 ~]# systemctl unmask iptables.service 
Removed symlink /etc/systemd/system/iptables.service.

2.启动firewalld

[root@web02 ~]# systemctl stop firewalld
[root@web02 ~]# systemctl start firewalld
[root@web02 ~]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

3.firewalld常用命令

查看默认使用的区域

[root@web02 ~]# firewall-cmd --get-default-zone
public

查看区域的规则

[root@web02 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp 80/udp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

指定查看区域规则

[root@web02 ~]# firewall-cmd --list-all --zone=public
public (active)					#区域(活跃的)
  target: default				#状态:默认
  icmp-block-inversion: no		 #ICMP块
  interfaces: eth0 eth1			#区域绑定的网卡
  sources: 						#允许流量的IP
  services: ssh dhcpv6-client	 #允许流量的服务
  ports: 80/tcp 80/udp			#允许流量的端口
  protocols: 					#允许流量的协议  {'tcp'|'udp'|'sctp'|'dccp'}
  masquerade: no				#ip 伪装
  forward-ports: 				#端口转发
  source-ports: 				#来源端口
  icmp-blocks:
  rich rules: 	

查询区域是否允许某服务

[root@web02 ~]# firewall-cmd --zone=public --query-service=ssh
no

重启防火墙(清理临时的设置)

[root@web02 ~]# firewall-cmd --reload 
success

五、防火墙配置放行策略

1.firewalld放行服务

[root@web02 ~]# firewall-cmd --add-service=http
success

#可以自己配置服务添加
[root@web02 ~]# cp /usr/lib/firewalld/services/{http.xml,suibian.xml}
[root@web02 ~]# firewall-cmd --add-service=suibian

2.firewalld放行端口

[root@web02 ~]# firewall-cmd --add-port=80/tcp
success
[root@web02 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
#移除允许的端口
[root@web02 ~]# firewall-cmd --remove-port=80/tcp

3.放行网段

#配置允许的网段
[root@web02 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted 
success

六、防火墙配置端口转发策略实例

端口转发是指传统的目标地址映射,实现外网访问内网资源
流量转发语法为:
firewalld-cmd –permanent –zone=<区域> –add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

端口转发实例:

需要将本地的10.0.0.8:5555端口转发至后端172.16.1.7:22端口

1.添加端口转发

[root@web02 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
success

2.开启IP伪装

[root@web02 ~]# firewall-cmd --add-masquerade
success

3.查看规则

[root@web02 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp
  protocols: 
  masquerade: yes
  forward-ports: port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
  source-ports: 
  icmp-blocks: 
  rich rules:

4.测试连接

[d:\~]$ ssh 10.0.0.8 5555

Connecting to 10.0.0.8:5555...
Connection established.
To escape to local shell, press Ctrl+Alt+].

Last login: Sun Mar 15 19:55:23 2020 from 10.0.0.1
[root@web01 ~]# ip a

七、防火墙富规则

firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册

富规则语法

[root@web02 ~]# man firewalld.richlanguage
rule
[source]
[destination]
service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
[log]
[audit]
[accept|reject|drop|mark]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

#富语言规则相关命令
--add-rich-rule='<RULE>'        #在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>'     #在指定的区删除一条富语言规则
--query-rich-rule='<RULE>'      #找到规则返回0,找不到返回1
--list-rich-rules               #列出指定区里的所有富语言规则

实例

允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问10050端口

#允许10.0.0.1主机能够访问http服务
[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=http accept'

#允许172.16.1.0/24能访问10050端口
[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=111 protocol=tcp accept'

默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh reject'

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

#drop和reject
drop直接丢弃,不返回任何内容
reject拒绝,返回拒绝的内容

当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'
success
[root@web02 ~]# firewall-cmd --add-masquerade 
success

firewalld配置禁ping

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp drop'

八、防火墙规则备份

#我们防火墙的配置,永久生效后会保存在/etc/firewalld/zones/这个目录下面,所以如果进行服务器集群扩展,或者配置相同防火墙时,只需要把该文件拿过来启动防火墙即可

#备份也备份以上文目录

#备份文件一定是在永久生效后才会在目录下多生成一个文件

九、防火墙内部共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以此达到内部主机上网。

在公司里面,服务器上没有外网的,除非使用路由器,或者使用防火墙实现内部共享上网

1.开启IP伪装

[root@web02 ~]# firewall-cmd --add-masquerade 
success
[root@web02 ~]# firewall-cmd --add-masquerade --permanent 
success
[root@web02 ~]#

2.开启内核转发

注意:如果使用iptables必须手动开启,firewalld不需要手动开启

#配置内核转发
[root@m01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

#在CentOS6中开启之后生效命令
[root@m01 ~]# sysctl -p

#查看内核转发是否开启
[root@m01 ~]# sysctl -a|grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1

3.配置没有外网机器的网关地址

[root@web03 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
#最后添加
GATEWAY=172.16.1.8
DNS1=223.5.5.5

#重启网卡
[root@web03 ~]# systemctl restart network

4.测试访问外网

可以ping通,OK。


本站博主 , 版权所有丨如未注明 , 均为原创
转载请注明原文链接:【Linux运维架构】企业级防火墙——Firewalld
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到