Linux之防火墙firewalld_firewalld可以预防那些网络攻击

防火墙firewalld

防火墙：防范一些网络攻击。有软件防火墙、硬件防火墙之分。防火墙选择让正常请求通过，从而保证网络安全性。

Linux中的防火墙分类：

• ①CentOS5、CentOS6 => 防火墙 => iptables防火墙
• ②CentOS7 => 防火墙 => firewalld防火墙

firewalld防火墙

区域：firewalld增加了区域(zone)的概念，所谓区域是指，firewalld预先准备了几套防火墙策略的集合，类似于策略的模板，用户可以根据需求选择区域。

常见区域及相应策略规则(规则：哪些端口或服务可以通过防火墙，哪些不能通过)

安装apache,但是访问不了，需要在防火墙添加规则

# yum install httpd -y
# systemctl start httpd
1
2

firewalld服务的运行模式和永久模式

运行模式：此模式下，配置的防火墙策略立即生效，但是不写入配置文件(firewalld默认采用运行模式)

永久模式：此模式下，配置的防火墙策略写入配置文件，但是需要reload重新加载才能生效。

firewall-cmd命令：防火墙防火墙规则

# firewall-cmd [选项1] [选项2] [...N]
# firewall-cmd => firewalld管理工具，
选项说明：
	--get-default-zone => 查看防火墙默认的区域（zone）
	--get-zones => 查看所有支持的区域（zones）
	
	--list-all => 查看当前区域的规则设置
	--list-all-zones =>查看所有区域的规则设置
1
2
3
4
5
6
7
8

案例：通过的服务名称添加规则 (临时)：–add-service

# firewall-cmd --zone=public --add-service=服务名称
备注：服务必须存储在/usr/lib/firewalld/services目录中

	# firewall-cmd --zone=public --add-service=http
	主要功能：把http服务添加到防火墙的规则中，允许通过防火墙
1
2
3
4
5

案例：移除添加的规则：–remove-service

# firewall-cmd --zone=public --remove-service=服务名称

	# firewall-cmd --zone=public --remove-service=http
	主要功能：把http服务从防火墙规则中移除，不允许其通过防火墙
	# firewall-cmd --list-all => 查看是否已移除
1
2
3
4
5

案例：通过服务的端口号添加规则 (临时)：–add-port

# firewall-cmd --zone=public --add-port=端口号/tcp

	# firewall-cmd --zone=public --add-port=80/tcp
	主要功能：把80/tcp添加到防火墙规则中，允许通过防火墙


1
2
3
4
5
6

案例：移除添加的规则：–remove-port

# firewall-cmd --zone=public --remove-port=端口号/tcp

	# firewall-cmd --zone=public --remove-port=80/tcp
	主要功能：从firewalld防火墙中把80端口的规则移除掉
	# firewall-cmd --list-all => 查看是否已移除
1
2
3
4
5

永久模式–permanent

# 根据服务名称添加规则（永久）
	# firewall-cmd --zone=public --add-service=服务名称 --permanent
	# firewall-cmd --reload => 让配置立即生效

# 根据端口号添加规则（永久）
	# firewall-cmd --zone=public --add-port=服务占用的端口号 --permanent
	# firewall-cmd --reload => 让配置立即生效
1
2
3
4
5
6
7