Linux下的防火墙管理（包含图形和命令、伪装和转发）_public.xml.old

一、防火墙概述

1. 防火墙定义

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙是系统的第一道防线，其作用是防止非法用户的进入。

2. 防火墙分类

从结构上来分，防火墙有两种：
即代理主机结构和路由器+过滤器结构，后一种结构如下所示：内部网络过滤器（Filter）路由器（Router）Internet
从原理上来分，防火墙则可以分成4种类型： 特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。

3. 防火墙类型

（1）网络层防火墙

网络层防火墙可视为一种 IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 HTTP 或是 FTP）。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。

（2）应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。 根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

（3）数据库防火墙

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

（4）防火墙的基本特性

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙
（二）只有符合安全策略的数据流才能通过防火墙
（三）防火墙自身应具有非常强的抗攻击免疫力
（四）应用层防火墙具备更细致的防护能力
（五）数据库防火墙针对数据库恶意攻击的阻断能力

二、实验环境搭建

1.在真机中重置虚拟机desktop

2.给虚拟机配置网络，设置虚拟机的ip为172.25.254.112



3.在虚拟机desktop上搭建yum源



4. 搜索并安装firewalld服务

5. 开启firewalld的火墙服务，并使其开机自启动，关闭iptables的火墙

6. 安装httpd服务


7. 重启httpd服务，并使其开机自启动

8.进入apache的默认发布目录，并编辑发布文件


9. 重启apache服务，如下所示：

10. 在真机测试，发现不能访问到发布文件

出现此问题是因为虚拟机火墙中的域不允许，为了解决这个问题，我们需要可以利用图形管理firewalld的方式进行后面的操作，以此来让访问发布文件。

三、使用图形界面管理firewalld防火墙

1. 首先了解firewalld域中的网络区名称