赞
踩
1、Firewalld是CentOS7.0默认防火墙工具,CentOS6.0是iptables;
2、防火墙工作在第四层传输层,和端口有关TCP、UDP;
3、大型数据中心用的背靠背方式–两个硬防火墙;
4、按区域进行定义:高安全区域和低安全区域(例如公司内部是一个高安全区域,外部是一个低安全区域),此外允许访问的公司服务在dmz区域(非军事化区域);
低安全级别到高安全级别会经过防火墙过滤;
高安全级别到低安全级别是允许的。
5、运行时配置是临时配置,不会保存。
Firewalld特点:
netfilter——Linux防火墙的内核态
Firewalld、iptables——Linux防火墙的用户态
Firewalld共有9个区域,可以使用一个或多个,但是任何一个活跃的区域需要至少关联一个源地址或接口。
默认情况下,public为默认区域,包含所有接口(网卡即接口)。
iptables没有区域的概念。
检查数据来源的源地址;
若源地址关联到特定的区域,则执行该区域所指定的规则;
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则;
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则。
1.firewalld-config图形工具
2.firewalld-cmd命令行工具
3./etc/firewalld中的配置文件
firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型,具体的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域
work drop internal external trusted home dmz public block
[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph
mondhcp dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt
libvirt-tlsm
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。