Linux安全篇 --firewalld
一、Firewalld 防火墙概述
1、Firewalld 简介
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口
2、firewalld 和 iptables 的关系
firewalld 自身并不具备防火墙的功能,而是和 iptables 一样需要通过内核的 netfilter 来实现。也就是说 firewalld 和 iptables 一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的 netfilter,只不过 firewalld 和 iptables 的结构以及使用方法不一样罢了。系统提供了图形化的配置工具 firewall-config、system-config-firewall,提供命令行客户端
firewal1-cmd,用于配置 firewalld 永久性或非永久性运行时间的改变:它依次用 iptables 工具与执行数据包筛选的内核中的 Netfilter 通信。firewalld 和 iptables 的逻辑关系如图所示。
从图中可以看到,iptables 服务和 firewalld 都是通过 iptables 命令与内核的 netfilter 进行交互的。在 Euler 系统中,我们仍然可以使用 iptables 命令来管理我们的防火墙。唯一不同的是当我们重启服务器或重启 firewalld 时,iptables 命令管理的规则不会自动加载,反而会被 firewalld的规则代替。
3:firewalld 与iptables service 的区别
iptables service 在 /etc/sysconfig/iptables 中储存配置
firewalld 将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里
使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld 可以在运行时间内,改变设置而不丢失现行连接。
二、Firewalld 网络区域
firewalld 将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源 IP 地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
若源地址关联到特定的区域,则执行该区域所制定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则
默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是 public,但是系统管理员可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出
在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域都设置了默认打开的服务。
| 区域 | 默认策略规则 |
| trusted | 允许所有的数据包 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于 home 区城 |
| work | 拒绝流入的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client 服务相关,则允许流量 |
| public | 拒绝流人的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-cHient 服务相关,则允许流量 |
| external | 拒绝流人的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流人的流量,除非与流出的流量相关 |
| drop | 拒绝流人的流量,除非与流出的流量相关 |
三、Firewalld 防火墙图形配置方法
在 Euler 系统中,可以使用三种方式配置 firewalld 防火墙:
firewall-config 图形工具
firewall-cmd 命令行工具
/etc/firewalld/中的配置文件
通常情况下,不建议直接编辑配置文件。所以本章我们只介绍 firewall-config 图形工具与firewall-cmd 命令行工具的配置方法。
firewall-config 图形化配置工具支持防火墙所有的特性,系统管理员可以通过它来改变系统或用户策略。通过 firewall-config 图形化配置工具,可以实现配置防火墙允许通过的服务、端口、伪装端口转发、ICMP 过滤器等功能
安装桌面环境
dnf -y install gnome-shell gdm gnome-session firewall-config切换到图形化界面
init 5
firewall-config 工作界面主要分为三个部分,上面是主菜单,中间是配置选项,下面是区域、服务、IPsets、ICMP 类型、直接配置、锁定白名单设置选项卡。其中,ICMP 类型、直接配置和锁定白名单选项卡只在从“查看”下拉菜单中选择之后才能看见。最底部是状态栏从左到右显示了四个信息,依次是连接状态、默认区域、锁定状态、应急模式。
firewall-config 主菜单包括四个菜单项:文件、选项、査看、帮助。其中,“选项”菜单是最重要的,主要包括以下几个选项。
重新加载防火墙 重新加载防火墙规则,当前的永久配置将变成新的运行时配置。例如,所有的当前运行的配置规则如果没有在永久配置中操作,系统重新加载后就会丢失。更改连接区域:更改网络连接的所属区域和接口 更改连接区域 更改网络连接的所属区域和接口 改变默认区域 更改网络连接的默认区域 应急模式 表示丢弃所有的数据包 锁定 可以对防火墙的配置进行加锁,只允许白名单上的应用程序进行修改
“配置”选项包括运行时和永久两种。运行时配置为当前使用的配置规则,永久配置规则在系统或服务重启时生效。在 firewall-config 界面中主要需要了解的是区域、服务、ICMP 等设置的选项卡。
1、“区域”选项
“区域”选项卡是一个主要设置的界面。“区域”选项卡下面还包含服务、端口、协议、源端口、伪装等一系列子选项卡。所以说,区域是服务、端口、协议、IP 伪装、ICMP 过滤等组合的意思,同时区域也可以绑定到接口和源地址。
1.1、“服务”子选项卡
“服务”子选项卡可以定义区域中哪些服务是可信的,可信的服务可以被绑定到该区域的任意连接、接口和源地址访问,如图所示。
本地访问:
其他主机访问:
开启服务策略
1.2、“端口”子选项卡
“端口”子选项卡用于设置允许访问的主机或网络访问的端口范围,如图所示。
更改配置文件中的监听端口
vim /etc/httpd/conf/httpd.conf
重新访问服务:
添加端口策略后重新尝试:
1.3“协议”子选项卡
用于添加所有主机或网络均可访问的协议
1.4、“源端口”子选项卡
“源端口”子选项卡可以添加额外的源端口或范围,连接到这台主机的所有主机或网络均可访问,如图所示。设置源端口时,可以设置某一个端口号或者是端口范围,同时还需要选择对应的 TCP 或 UDP 协议
源端口是随机的,范围是0-65355
1.5、“伪装”子选项卡
用于把私有网络地址映射到公有的IP地址,该功能目前只适用于 IPv4。
external区域默认选择伪装区域
1.6、“端口转发”子选项卡
“端口转发”子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口,如图所示。在设置端口转发时同样需要选择协议类型,且该功能也仅支持IPv4。
1.7、“ICMP 过滤器”子选项卡
ICMP 主要用于在联网的计算机间发送出错信息,但也发送类似 ping 请求以及回应等信息。在“ICMP过滤器”子选项卡中可以选择应该被拒绝的 ICMP 类型,其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制。
2、服务选项卡
服务是端口、协议、模块和目标地址的组合,并且“服务”选项卡只能在“永久”配置视图中修改,运行时”配置中的服务是不可以修改的。与“区域”选项卡不同,“服务”选项卡仅包含五个子选项卡其中,“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。
2.1、“模块”子选项卡
用于设置网络过滤的辅助模块
2.2、“目标地址”子选项卡
如果某服务指定了目标地址,服务项目仅限于目标地址和类型,如果IPv4与 IPv6 均为空,则没
有限制。
3、改变防火墙设置
要立刻改变现在的防火墙设置,须确定当前视图设定在运行时。或者,从下拉菜单中选择永久Permanent)如下图所示,编辑下次启动系统或者防火墙重新加载时执行的设定。
在运行时(Runtime)模式下更改防火墙的设定时,一旦您启动或者清除连接服务器的复选框,选择立即生效。在 Permanent 模式下更改防火墙的设定,仅仅在重新加载防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标,或者点击 选项菜单,选择重新加载防火墙。
4、修改默认分区
要设定一个将要被分配新接口的分区作为默认值,则启动 firewal1-config,从菜单栏选择选项卡,由下拉菜单中选择修改默认区域,出现默认区域窗口如图所示。从给出的列表中选择您需要用的分区作为默认分区,点击确定按钮即可
四、Firewalld 防火墙 firewall-cmd 命令设置
1:获取预定义信息
firewal1-cmd 预定义信息主要包括三种具体的查看命令如下所示
可用的区域
firewall-cmd --get-zones
可用的服务
firewall-cmd --get-services
可用的 ICMP 阻塞类型
firewal1-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示
destination-unreachable 目的地址不可达 echo-reply 应答回应(pong) parameter-problem 参数问题 redirect 重新定向 router-advertisement 路由器通告 router-solicitation 路由器征寻 source-quench 源端抑制 time-exceeded 超时 timestamp-reply 时间戳应答回应 timestamp-request 时间戳请求
2、区域管理
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。下表中列出了 firewa1ll-cmd 命令的区域管理选项说明
选项 说明 --get-default-zone 显示网络连接或接口的默认区域 --set-default-zone=<zone> 设置网络连接或接口的默认区域 --get-active-zones 显示已激活的所有区域 --get-zone-of-interface=<interface> 显示指定接口绑定的区域 --zone=<zone>--add-interface=<interface> 为指定接口绑定区域 --zone=<zone>--change-interface=<interface> 为指定的区域更改绑定的网络接口 --zone=<zone>--remove-interface=<interface> 为指定的区域删除绑定的网络接口 --list-all-zones 显示所有区域及其规则 [--zone=<zone>]--list-all 显示所有指定区域的所有规则 2.1、显示当前系统中的默认区域
firewall-cmd --get-default-zone
2.2、显示默认区域的所有规则firewall-cmd --list-all
2.3、显示网络接口 ens160 对应区域
firewall-cmd --get-zone-of-interface=ens160
2.4、将网络接口 ens160 对应区域更改为 internal 区域
firewall-cmd --zone=internal --change-interface=ens160
2.5、显示所有激活区域
firewall-cmd --get-active-zones
3、服务管理
为了方便管理,firewalld 预先定义了很多服务,存放在 /usr/lib/firewalld/services/ 目录中,服务通过单个的 XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了78 多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在/etc/firewalld/services/ 目录中。
service 配置具有以下优点。
1>通过服务名字来管理规则更加人性化2>通过服务来组织端口分组的模式更加高效,如果一个服务使用了若于个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式
firewall-cmd 命令区域中服务管理的常用选项
参数 作用 --get-default-zone 查询默认的区域名称 --set-default-zone=<区域名称> 设置默认的区域,使其永久生效 --get-zones 显示可用的区域 --get-services 显示预定义的服务 --get-active-zones 显示当前正在使用的区域、来源地址和网卡名称 --add-source= 将源自此IP或子网的流量导向指定的区域 --remove-source= 不再将源自此IP或子网的流量导向这个区域 --add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域 --change-interface=<网卡名称> 将某个网卡与区域进行关联 --list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息 --list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息 --add-service=<服务名> 设置默认区域允许该服务的流量 --add-port=<端口号/协议> 设置默认区域允许该端口的流量 --remove-service=<服务名> 设置默认区域不再允许该服务的流量 --remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量 --reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 --panic-on 开启应急状况模式 --panic-off 关闭应急状况模式 3.1、为区域设置允许访问的服务
#添加服务 firewall-cmd --zone-internal --add-service=http#移除服务 firewall-cmd --zone-internal --remove-service=http
4、端口管理
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现internal 区域打开 443/TCP 端口
#添加: firewall-cmd --zone=internal --add-port=443/tcp#移除: firewall-cmd --zone=internal --remove-port=443/tcp
5、两种配置模式
前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效:永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。
firewa1ll-cmd 命令工具与配置模式相关的选项
--reload 重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置 --permanent 带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则 --runtime-to-permanent 将当前的运行时配置写入规则配置文件中,使之成为永久性配置
五、Firewalld 防火墙案例
本案例需求描述如下
网关服务器 ens160网卡分配到 external(外部)区域,ens224 网卡分配到 trusted(信任)区域,ens256 网卡分配到 dmz(非军事)区域
网站服务器和网关服务器将 SSH 默认端口都改为 12345
网站服务器开启 https,过滤未加密的 http 流量,且拒绝拒绝 ping拓扑图:
1、基本参数配置
1.1、配置主机名
#网关 hostnamectl set-hostname gateway-server bash#内网 hostnamectl set-hostname in bash#外网 hostnamectl set-hostname out bash#web服务器 hostnamectl set-hostname web bash1.2、开启网关服务器的路由转发功能
vim /etc/sysctl.conf
sysctl -p
2、网站服务器环境搭建
2.1、验证firewalld防火墙在网关服务器上的状态
systemctl status firewalld
2.2、安装服务
dnf -y install httpd mod_ssl
2.3、启动服务
#启动 systemctl start httpd#开机自启动 systemctl enable httpd
2.4、编写测试网页:
2.5、更改 ssh 的监听端口,并重启服务,关闭 SELinux
setenforce 0vim /etc/ssh/sshd_configsystemctl restart sshd找到port、去掉注释并更改监听端口
3、在网站服务器上配置防火墙策略
3.1、设置默认区域为 dmz 区域
firewall-cmd --set-default-zone=dmz
3.2、为 dmz 区域打开 https 服务井添加 TCP 的 12345 端口
firewall-cmd --zone=dmz --add-service=https --permanentfirewall-cmd --zone=dmz --add-service=http --permanentfirewall-cmd --zone=dmz --add-port=12345/tcp --permanent
3.3、禁ping
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
3.4、因为预定于的 ssh 服务已经更改了端口,所以要将预定于 ssh 服务移除
firewall-cmd --zone=dmz --remove-service=ssh --permanent
3.5、重载、并查看配置
firewall-cmd --reloadfirewall-cmd --list-all
4、在网关服务器上配置 firewalld 防火墙
4.1、验证 firewalld 在网关服务器上是否启动并且正在运行
systemctl status firewalld4.2、设置默认区域为 externa1 区域,并查看配置结果
firewall-cmd --set-default-zone=externalfirewall-cmd --list-all
4.3、将ens224 网卡配置到 trusted 区域,将 ens256 配置到 dmz 区域
firewall-cmd --change-interface=ens224 --zone=trusted --permanentfirewall-cmd --change-interface=ens256 --zone=dmz --permanent
4.4、查看配置情况
firewall-cmd --get-active-zone
4.5、在企业内网测试计算机上访问网站服务器
4.6、关团 SELinux,更改 ssh 的监听端口,并重启服务
setenforce 0vim /etc/ssh/sshd_configsystemctl restart sshd找到port、去掉注释并更改监听端口
4.7、配置 externa1 区域添加 TCP 的 12345 端口
firewal1-cmd --zone=external --add-port=12345/tcp --permanent
4.8、配置external 区域移除 ssh 服务
firewall-cmd --zone=external --remove-service=ssh --permanent
4.9、配置externa1 区域禁止 ping
firewal1-cmd --zone=external --add-icmp-block=echo-request --permanent
4.10、重新加载防火墙配置
firewall-cmd --reload
4.11、在互联网测试机上通过 ssh 登录网关外部接口地址的 12345 端口
ssh -p 12345 100.0.0.1
4.12、在企业内网测试机上 ssh 登录 web 网站服务器的 12345 端口
ssh -p 12345 192.168.2.10
4.13、外网测试机远程ssh连接DMZ区域的网站服务器
