摘要:Firewall是Linux系统常用的防火墙管理工具,与iptables不同,Firewall是一款动态防火墙管理工具,用于实现持久的网络流量规则。所谓动态防火墙,是指Firewall在运行时,任何规则的变更都不需要对防火墙规则列表进行重新加载,只需要将变更部分保存并更新运行,并实时生效而无需重启服务。
文主要内容是使用Firewall防火墙进行Linux的安全加固管理,详细内容参考下文。
一、登陆系统
1.登陆Linux系统
2.查看防火墙Firewall运行状态
二、防火墙Firewall介绍
1.Firewall区域介绍
说明:在Firewall防火墙中,引入了Zone区域概念,本质上是一系列数据包过滤的规则,Firewall可以将某个网卡设置为一个指定的Zone。
执行指令# firewall-cmd --get-default-zone
查看目前网卡使用的区域Zone级别
备注:Public区域,在公共区域使用,public区域是网卡所处的默认区域。
2.Firewall区域级别介绍
说明:不同的Zone对应不同的信任级别,Firewall的Zone 提供了以下九个级别:
三、防火墙Firewall应用
1.Firewall使用命令
说明:防火墙Firewall的应用范围很广,有很多命令可以直接使用。以下是各种命令的使用介绍:
备注:一个区域可以绑定多个网卡,一个网卡只能绑定一个区域。
执行指令# firewall-cmd --get-zones查看Zone级别
执行指令# firewall-cmd --get-default-zone查看网卡使用级别
其他firewall-cmd使用指令:
2、Firewall使用实例
(1)添加tcp的80端口
(2)删除tcp的80端口
备注:执行指令# firewall-cmd --reload更新规则不重启服务;
或者# firewall-cmd --complete-reload更新规则并重启服务。
(3)设置public为默认的信任级别
执行指令# firewall-cmd --set-default-zone=public
(4)查看public区域的被允许的端口
执行指令# firewall-cmd --zone=public --list-ports
(5) 允许tcp端口80至public级别
执行指令# firewall-cmd --zone=public --add-port=80/tcp
(6) 允许tcp端口8080至 public 级别,并永久生效
执行指令# firewall-cmd --zone=public --add-port=8080/tcp --permanent
备注:只有加permanent参数,才能在执行reload指令后生效。
(7)管理服务
执行指令# firewall-cmd --zone=public --add-service=smtp添加服务
执行指令# firewall-cmd --zone=public --remove-service=smtp删除对应的服务
(8)配置IP地址伪装
执行指令# firewall-cmd --zone=external --query-masquerade查看地址伪装情况
(9)配置常用端口转发
执行指令# firewall-cmd --zone=external --add-masquerade启用端口转发
(10)配置其他服务组件
执行指令# firewall-cmd --get-services列举出firewall防火墙所支持的服务