Linux的防火墻體系主要工作在網(wǎng)絡(luò)層，針對(duì)TCP/IP數(shù)據(jù)包實(shí)時(shí)過(guò)濾和限制，屬于典型的包過(guò)濾防火墻。

創(chuàng)新互聯(lián)是專業(yè)的宕昌網(wǎng)站建設(shè)公司，宕昌接單;提供成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行宕昌網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

Linux防火墻是如何檢查數(shù)據(jù)流量的？

對(duì)于進(jìn)入系統(tǒng)的數(shù)據(jù)包，首先檢查的就是其源地址：

若源地址關(guān)聯(lián)到特定的區(qū)域，則執(zhí)行該區(qū)域所制定的規(guī)則；
若源地址未關(guān)聯(lián)到特定的區(qū)域，則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所制定的規(guī)則。
若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域，那么就使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所制定的規(guī)則。
默認(rèn)區(qū)域并不是單獨(dú)的區(qū)域，而是指向系統(tǒng)上定義的某個(gè)其他區(qū)域。默認(rèn)情況下，默認(rèn)區(qū)域是public，但是也可以更改默認(rèn)區(qū)域。以上匹配規(guī)則，按照先后順序，第一個(gè)匹配的規(guī)則勝出，和網(wǎng)絡(luò)設(shè)備的ACL匹配規(guī)則差不多，俗稱匹配即停。
firewalld的相關(guān)預(yù)定義區(qū)域：

firewalld防火墻有兩種配置模式：

1 、運(yùn)行時(shí)模式：表示當(dāng)前內(nèi)存中運(yùn)行的防火墻配置，在系統(tǒng)或firewalld服務(wù)重啟、停止時(shí)將失效；

2、永久模式：表示重啟防火墻或重新加載防火墻時(shí)的規(guī)則配置，是永久存儲(chǔ)在配置文件中的。

firewall-cmd命令工具與配置模式相關(guān)的選項(xiàng)有三個(gè)：

--reload：重新加載防火墻規(guī)則并保持狀態(tài)信息，即將永久配置應(yīng)用為運(yùn)行時(shí)配置；
--permanent：帶有此選項(xiàng)的命令用于設(shè)置永久性規(guī)則，這些規(guī)則只有在重新啟動(dòng)或重新加載防火墻規(guī)則時(shí)才會(huì)生效；若不帶此項(xiàng)，表示用于設(shè)置運(yùn)行時(shí)規(guī)則。
--runtime-to-permanent：將當(dāng)前運(yùn)行時(shí)的配置寫(xiě)入規(guī)則配置文件中，使當(dāng)前內(nèi)存中的規(guī)則稱為永久性配置。
1、防火墻相關(guān)命令使用：

[root@localhost ~]# systemctl start firewalld                #啟動(dòng)防火墻
[root@localhost ~]# systemctl enable firewalld            #設(shè)置開(kāi)機(jī)自啟動(dòng)
[root@localhost /]# firewall-cmd --reload                     #重載防火墻
[root@localhost ~]# systemctl status firewalld             #查看防火墻狀態(tài)
[root@localhost ~]# systemctl stop firewalld                #停止防火墻
[root@localhost ~]# systemctl disable firewalld            #設(shè)置防火墻開(kāi)機(jī)不自啟動(dòng)
[root@localhost ~]# firewall-cmd --get-zones                #顯示預(yù)定義的區(qū)域
block dmz drop external home internal public trusted work
[root@localhost ~]# firewall-cmd --get-service                     #顯示預(yù)定義的服務(wù)
[root@localhost /]# firewall-cmd --list-all --zone=dmz                #查看指定區(qū)域的配置
dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost ~]# firewall-cmd --get-icmptypes                #顯示預(yù)定義的ICMP類型
address-unreachable bad-header communication-prohibited destination-unreachable 
echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited
host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement
neighbour-solicitation network-prohibited network-redirect network-unknown 
network-unreachable no-route packet-too-big parameter-problem port-unreachable
precedence-cutoff protocol-unreachable redirect required-option-missing
router-advertisement router-solicitation source-quench source-route-failed time-exceeded
timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable 
tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly 
ttl-zero-during-transit unknown-header-type unknown-option

firewall-cmd --get-icmptypes命令執(zhí)行結(jié)果中部分阻塞類型的含義如下：

destination-unreachable：目的地址不可達(dá)；
echo-reply：應(yīng)答回應(yīng)；
parameter-problem：參數(shù)問(wèn)題；
redirect：重新定向；
router-advertisement：路由器通告；
router-solicitation：路由器征尋；
source-quench：源端抑制；
time-exceeded：超時(shí)；
timestamp-reply：時(shí)間戳應(yīng)答回應(yīng)；
timestamp-request：時(shí)間戳請(qǐng)求；

2、firewalld防火墻區(qū)域管理命令及示例：

[root@localhost /]# firewall-cmd --set-default-zone=dmz           #設(shè)置默認(rèn)區(qū)域?yàn)镈MZ區(qū)域
[root@localhost ~]# firewall-cmd --get-default-zone                #顯示當(dāng)前系統(tǒng)中的默認(rèn)區(qū)域
[root@localhost ~]# firewall-cmd --list-all                                 #顯示默認(rèn)區(qū)域的所有規(guī)則
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33       #顯示網(wǎng)絡(luò)接口ens33對(duì)應(yīng)區(qū)域
[root@localhost ~]# firewall-cmd --get-active-zones           #顯示所有激活區(qū)域
internal
  interfaces: ens33

 #執(zhí)行以下操作可將網(wǎng)絡(luò)接口ens33對(duì)應(yīng)區(qū)域更改為internal區(qū)域，并查看：
 [root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
 The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces    #查看internal區(qū)域的接口列表
ens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33    #查看接口ens33對(duì)應(yīng)的區(qū)域
internal

3、防火墻服務(wù)管理相關(guān)命令及示例：

部分服務(wù)管理的示例：

為默認(rèn)區(qū)域設(shè)置允許訪問(wèn)的服務(wù)

 [root@localhost services]# firewall-cmd --list-services          #顯示默認(rèn)區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)
ssh dhcpv6-client
[root@localhost services]# firewall-cmd --add-service=http     #設(shè)置默認(rèn)區(qū)域允許訪問(wèn)http服務(wù)
success
[root@localhost services]# firewall-cmd --add-service=https     #設(shè)置默認(rèn)區(qū)域允許訪問(wèn)https服務(wù)
success
[root@localhost services]# firewall-cmd --list-services               #顯示默認(rèn)區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)

ssh dhcpv6-client http https

為internal區(qū)域設(shè)置允許訪問(wèn)的服務(wù)：

[root@localhost services]# firewall-cmd --zone=internal --add-service=mysql 
#設(shè)置internal區(qū)域允許訪問(wèn)mysql服務(wù)
success
[root@localhost services]# firewall-cmd --zone=internal --remove-service=samba-client 
#設(shè)置internal區(qū)域不允許訪問(wèn)Samba-client服務(wù)
success
[root@localhost services]# firewall-cmd --zone=internal --list-services 
#顯示internal區(qū)域內(nèi)允許訪問(wèn)的所有服務(wù)
ssh mdns dhcpv6-client mysql

端口管理：
在進(jìn)行服務(wù)配置時(shí)，預(yù)定義的網(wǎng)絡(luò)服務(wù)可以使用服務(wù)名配置，服務(wù)所涉及的端口就會(huì)自動(dòng)打開(kāi)。但是，對(duì)于非預(yù)定義的服務(wù)只能手動(dòng)為指定的區(qū)域添加端口。示例如下：

 [root@localhost services]# firewall-cmd --zone=internal --add-port=443/tcp
 #在internal區(qū)域打開(kāi)443/tcp端口
success
 [root@localhost services]# firewall-cmd --zone=internal --remove-port=443/tcp
 #在internal區(qū)域禁止443/tcp端口訪問(wèn)
success

以上配置都為臨時(shí)配置，若想將當(dāng)前配置保存為永久配置，可以使用下面命令：

 [root@localhost services]# firewall-cmd --runtime-to-permanent
success

直接配置為永久性規(guī)則，須帶--permanent選項(xiàng)，如下：

[root@localhost /]# firewall-cmd --add-icmp-block=echo-request --permanent   #禁止ping

success
[root@localhost /]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent           
#配置external區(qū)域禁止ping
success

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目：firewalld防火墻基礎(chǔ)配置-創(chuàng)新互聯(lián)
標(biāo)題路徑：http://aaarwkj.com/article10/cdpcdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、品牌網(wǎng)站制作、微信公眾號(hào)、網(wǎng)站設(shè)計(jì)公司、外貿(mào)建站、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)