CentOS7下Firewall防火墙配置用法详解.docVIP

CentOS7下Firewall防火墙配置用法详解 CentOS7下Firewall防火墙配置用法详解 centos 7中防火墙是一个非常的强大的功能了，但对于centos 7中在防火墙中进行了升级了，下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。 相反，firewall daemon 动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall daemon 无法解析由ip*tables 和ebtables命令行工具添加的防火墙规则。 守护进程通过 D-BUS 提供当前激活的防火墙设置信息，也通过 D-BUS 接受使用PolicyKit认证方式做的更改。 “守护进程” 应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能，如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。 通过所谓的直接接口，其他的服务(例如libvirt )能够通过iptables变元(arguments)和参数(parameters)增加自己的规则。 amanda、ftp 、samba 和tftp服务的netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而，跟踪连接信息很重要，需要列入考虑范围。 静态防火墙(system-config-firewall/lokkit) 使用 system-config-firewall 和lokkit的静态防火墙模型实际上仍然可用并将继续提供，但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。 在软件安装，初次启动或者是首次联网时，将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。 firewall daemon 独立于 system-config-firewall，但二者不能同时使用。 使用iptables和ip6tables的静态防火墙规则 如果你想使用自己的iptables和 ip6tables 静态防火墙规则, 那么请安装iptables-services 并且禁用firewalld，启用iptables和ip6tables: yum install iptables-services systemctl mask firewalld.service systemctl enable iptables.service systemctl enable ip6tables.service 静态防火墙规则配置文件是 /etc/sysconfig/iptables以及 /etc/sysconfig/ip6tables . 注：iptables与iptables-services 软件包不提供与服务配套使用的防火墙规则. 这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的. 你可以安装并使用 system-config-firewall 来创建上述服务需要的规则. 为了能使用 system-config-firewall, 你必须停止firewalld. 为服务创建规则并停用firewalld后，就可以启用iptables与 ip6tables 服务了: systemctl stop firewalld.service systemctl start iptables.service systemctl start ip6tables.service 什么是区域？ 网络区域定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。 预定义的服务 服务是端口和/或协议入口的组合。备选内容包括net