Firewalld 防火墙

一、防火墙基本概述

在CentOS7系统中集成了多款防火墙管理工具，默认启用的是firewalld（动态防火墙管理器）防火墙管理工具，Firewalld支持CLI（命令行）以及GUI（图形）的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉，但由于Iptables的规则比较的麻烦，并且对网络有一定要求，所以学习成本较高。但firewalld的学习对网络并没有那么高的要求，相对iptables来说要简单不少，所以建议刚接触CentOS7系统的人员直接学习Firewalld。

需要注意的是：如果开启防火墙工具，并且没有配置任何允许的规则，那么从外部访问防火墙设备默认会被阻止，但是如果直接从防火墙内部往外部流出的流量默认会被允许。

firewalld 只能做和IP/Port相关的限制，web相关的限制无法实现。

二、防火墙区域管理

那么相较于传统的Iptables防火墙，firewalld支持动态更新，并加入了区域zone的概念

简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据不同的场景选择不同的策略模板，从而实现防火墙策略之间的快速切换

区域选项	默认规则策略
trusted	允许所有的数据包流入流出
home	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量
internal	等同于home区域
work	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client、dhcpv6-client服务相关，则允许流量
public	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
external	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
block	拒绝流入的流量，除非与流出的流量相关
drop	拒绝流入的流量，除非与流出的流量相关

#必须记住的三个区域，其他的可以不记
trusted         白名单
public          默认区域
drop            黑名单

三、防火墙基本指令参数

1.firewall-cmd命令分类列表

参数	作用
zone区域相关指令
–get-default-zone	获取默认的区域名称
–set-default-zone=<区域名称>	设置默认的区域，使其永久生效
–get-active-zones	显示当前正在使用的区域与网卡名称
–get-zones	显示总共可用的区域
–new-zone=	新增区域
services服务相关命令
–get-services	列出服务列表中所有可管理的服务
–add-service=	设置默认区域允许该填加服务的流量
–remove-service=	设置默认区域不允许该删除服务的流量
Port端口相关指令
–add-port=<端口号/协议>	设置默认区域允许该填加端口的流量
–remove-port=<端口号/协议>	置默认区域不允许该删除端口的流量
Interface网站相关指令
–add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>	将某个网卡与区域进行关联
source相关指令
–add-source=<IP/子网掩码>	一般配置在女默认区域的富规则中或者黑白名单中
–remove-source=<IP/子网掩码>
其他相关指令
–list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
–reload	让“永久生效”的配置规则立即生效，并覆盖当前的配置规则

四、防火墙区域配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙，必须启动firewalld服务，同时关闭以前旧的防火墙相关服务，

需要注意firewalld的规则分为两种状态：
runtime运行时: 修改规则马上生效，但如果重启服务则马上失效，测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效，生产建议。

1.禁用与取消禁用防火墙

#禁用防火墙
[root@web01 ~]# systemctl mask iptables
Created symlink from /etc/systemd/system/iptables.service to /dev/null.

#取消禁用防火墙
[root@web01 services]# systemctl unmask iptables
Removed symlink /etc/systemd/system/iptables.service

2.操作防火墙

[root@web01 ~]# systemctl start firewalld
[root@web01 ~]# systemctl enable firewalld
[root@web01 ~]# systemctl stop firewalld

#重载防火墙配种或清理临时的防火墙配置
[root@web01 ~]# firewalld-cmd --reload

3.firewalld常用命令

1）查看默认使用的区域

[root@web01 ~]# firewall-cmd --get-default-zone 
public

2）查看默认区域的规则

[root@web01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

3）查看指定区域的默认规则

[root@web01 ~]# firewall-cmd --list-all --zone=trusted 

trusted                         #区域的名字
  target: ACCEPT                 #状态：允许
  icmp-block-inversion: no        #icmp块设置
  interfaces:                    #区域绑定的网卡
  sources:                       #允许流量通过的网段
  services:                     #允许流量通过的服务
  ports:                        #允许流量通过的端口
  protocols:                    #允许流量通过的协议
  masquerade: no                #IP伪装
  forward-ports:                #端口转发
  source-ports:                 #端口转发的来源端口
  icmp-blocks:                    #icmp块设置
  rich rules:                   #富规则

4）查看区域是否允许某服务

[root@m01 ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@m01 ~]# firewall-cmd --zone=public --query-service=https
no

五、防火墙配置

1.firewalld放行服务

1）firewalld放行一个服务

[root@web01 ~]# firewall-cmd --add-service=http
success

2）firewalld放行多个服务

[root@web01 ~]# firewall-cmd --add-service={http,nginx}
success

3）自己添加服务，配置规则

[root@web01 ~]# cp /usr/lib/firewalld/services/{http.xml,suibian.xml}
[root@web01 ~]# firewall-cmd --reload
success
[root@web01 ~]# firewall-cmd --add-service=suibian
success

2.firewalld放行端口

1）firewalld放行一个端口

[root@web01 ~]# firewall-cmd --add-port=80/tcp
success

2）firewalld放行多个端口

[root@web01 ~]# firewall-cmd --add-port={81/tcp,82/tcp}
success

3.firewalld放行网段

[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
success

4.配置测试

#要求：使用firewalld各个区域规则结合配置，调整默认public区域拒绝所有流量，但如果来源IP是10.0.0.0/24网段则允许
1.去除配置中的规则
[root@web01 ~]# firewall-cmd --remove-service=ssh
success

2.配置允许10.0.0.0/24网段
[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted 
success

六、防火墙配置端口转发

端口转发是指传统的目标地址映射，实现外网访问内网资源

流量转发命令语法为：
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

1.端口转发实践

实例：需要将本地的10.0.0.7:5555端口转发至172.16.1.4:22端口

#1.添加端口转发
[root@web01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.4
success

#2.开启ip伪装
[root@web01 ~]# firewall-cmd --add-masquerade 
success

#3.查看防火墙配置
[root@web01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: yes
  forward-ports: port=5555:proto=tcp:toport=22:toaddr=172.16.1.4
  source-ports: 
  icmp-blocks: 
  rich rules: 

#4.测试连接
[C:\~]$ ssh 10.0.0.7 5555

Connecting to 10.0.0.7:5555...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Mon Dec 14 10:59:58 2020 from 10.0.0.1
[root@lb01 ~]# 

七、防火墙富规则

firewalld中的富语言规则表示更细致，更详细的防火墙策略配置，他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置，优先级在所有的防火墙策略中也是最高的，下面为firewalld富语言规则帮助手册