Liunx学习总结(九)--防火墙

防火墙的作用

防火墙作为一个边界防御工具，其监控流量要么允许它、要么屏蔽它。 多年来，防火墙的功能不断增强，现在大多数防火墙不仅可以阻止已知的一些威胁、执行高级访问控制列表策略，还可以深入检查流量中的每个数据包，并测试包以确定它们是否安全。大多数防火墙都部署为用于处理流量的网络硬件，和允许终端用户配置和管理系统的软件。越来越多的软件版防火墙部署到高度虚拟化的环境中，以在被隔离的网络或 IaaS 公有云中执行策略。

防火墙的分类

(一)、包过滤防火墙

数据包过滤(packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址，所用的端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过。

包过滤防火墙的优点是它对用户来说是透明的，处理速度快且易于维护。缺点是：非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；数据包的源 地址、目的地址和IP的端口号都在数据包的

(二)、代理服务型防火墙

代理服务(proxy service)也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨跃防火墙的网络通信链路 分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点，代理服务器就会替用户去那个站点取 回所需的信息，再转发给用户，内外网用户的访问都是通过代理服务器上的“链接”来实现的，从而起到隔离防火墙内外计算机系统的作用。

此外，代理服务也对过往的数据包进行分析和注册登记，并形成报告，同时当发现有被攻击迹象时会向网络管理员发出警告，并保留攻击记录，为证据收集和网络维护提供帮助。

防火墙的工作原理

(一)、包过滤防火墙的工作原理

包过滤是在IP层实现的，因此，它可以只用路由器来完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允 许包通过，过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关。包过滤器的应用非常广泛，因为CPU用来处理包过滤的时 间可以忽略不计。而且这种防护措施对用户透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。

但是这种防火墙不太安全，因为系统对应用层信息无感知－－也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止地址的 盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。基于这种工作机制，包过滤防火墙 有以下缺陷：

1、通信信息：包过滤防火墙只能访问部分数据包的头信息。
2、通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息。
3、信息处理：包过滤防火墙处理信息的能力是有限的。

(二)、代理服务型防火墙工作原理

代理服务型防火墙在应用层上实现防火墙功能。它能提供部分与传输有关的状态，能外圈提供与应用相关的状态和部分传输的信息，它还能处理和管理信息。

FirewallD

什么是 FirewallD

firewalld 是 centos7 的一大特性，最大的好处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的 “zone” 概念。firewalld 有图形界面和工具界面，图形界面请参照官方文档，本文以字符界面做介绍。firewalld的字符界面管理工具是 firewall-cmd

firewalld d默认配置文件

• /usr/lib/firewalld/ :系统配置，尽量不要修改
• /etc/firewalld/ :用户配置地址

zone概念

硬件防火墙默认一般有三个区，firewalld引入这一概念系统默认存在以下区域:

• drop：默认丢弃所有包
• block：拒绝所有外部连接，允许内部发起的连接
• public：指定外部连接可以进入
• external：这个不太明白，功能上和上面相同，允许指定的外部连接
• dmz：和硬件防火墙一样，受限制的公共连接可以进入
• work：工作区，概念和workgoup一样，也是指定的外部连接允许
• home：类似家庭组
• internal：信任所有连接

管理 firewalld

yum install firewalld firewall-config # 安装 firewalld
systemctl start  firewalld # 启动 firewalld
systemctl status firewalld 或者 firewall-cmd --state # 查看 firewalld 状态
systemctl disable firewalld # 停止 firewalld
systemctl stop firewalld # 禁用 firewalld

配置 firewalld

firewall-cmd --version # 查看版本
firewall-cmd --help # 查看帮助
firewall-cmd --state # 显示状态
firewall-cmd --zone=public --list-ports # 查看所有打开的端口
firewall-cmd --reload # 更新防火墙规则
firewall-cmd --get-active-zones # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0 # 查看指定接口所属区域
firewall-cmd --panic-on # 拒绝所有包
firewall-cmd --panic-off # 取消拒绝状态
firewall-cmd --query-panic # 查看是否拒绝

端口管理

firewall-cmd --zone=public --add-port=80/tcp --permanent  # 添加端口 （--permanent永久生效，没有此参数重启后失效）
firewall-cmd --reload # 重新载入端口
firewall-cmd --zone= public --query-port=80/tcp # 查看端口
firewall-cmd --zone= public --remove-port=80/tcp --permanent # 删除端口