一、linux防火墙的基础

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实时过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux系统的防火墙体系基于内核共存：firewalld、iptables、ebtables，默认使用firewalld来管理netfilter子系统。

netfilter：指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”的防火墙功能体系；

firewalld：指用来管理Linux防护墙的命令程序，属于“用户态”的防火墙管理体系；

1、firewalld概述

firewalld的作用是为包过滤机制提供匹配规则（或称为策略），通过各种不同的规则，告诉netfilter对来自指定源，前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙，firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。支持IPv4、IPv6防火墙设置以及以太网桥，并且拥有两种配置模式：

运行配置

永久配置
还支持服务或应用程序直接添加防火墙规则接口。

2、firewalld网络区域

firewalld将所有的网络数据流量划分为多个区域，从而简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。

对于进入系统的数据包，首先检查的就是其源地址：

若源地址关联到特定的区域，则执行该区域所制定的规则；若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所制定的规则；若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则；

默认区域不是单独的区域，而是指向系统上定义的某个其他区域。默认情况下，默认区域是public，但是也可以更改默认区域。以上匹配规则，按照先后顺序，第一个匹配的规则胜出。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口，firewalld的每个预定义的区域都设置了默认打开的服务。

3、firewalld预定义区域说明

trusted（信任区域）：可接收所有的网络连接；public：（公共区域）：除非与传出流量相关，或与ssh或dhcpv6-client预定义服务匹配，否则拒绝流量传入；work（工作区域）：除非与传出流量相关，或与ssh、ipp-client、dhcpv6-client预定义服务匹配，否则拒绝流量传入，用于工作区；home（家庭区域）：除非与传出流量相关，或与ssh、ipp-client、mDNS、samba-client、dhcpv6-client预定义服务匹配，否则拒绝流量传入，用于家庭网络；internal（内部区域）：除非与传出流量相关，或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配，否则拒绝流量传入，用于内部网络；external（外部区域）：除非与传出流量相关，或与ssh预定义服务匹配，否则拒绝流量传入；dmz（隔离区域也称为非军事化区域）：除非和传出的流量相关 ，或与ssh预定义服务匹配，否则拒绝流量传入；blocak（限制区域）：除非与传出流量相关，否则拒绝所有传入流量；drop（丢弃区域）：除非与传出流量相关，否则丢弃所有传入流量，并且不产生包含ICMP的错误响应；

二、firewalld防火墙的配置方法

在centos 7系统中，可以使用三种方式配置firewalld防火墙：

firewalld-config图形化工具；

firewalld-cmd命令行工具；

/etc/firewalld/中的配置文件；

一般情况下，不建议直接编辑配置文件；

1、firewalld-cmd的基础命令

[root@centos01 ~]# systemctl start firewalld <!--启动firewalld-->
[root@centos01 ~]# systemctl enable firewalld<!--设置开机自动启动firewalld-->
[root@centos01 ~]# systemctl status firewalld <!--查看防火墙运行状态-->
[root@localhost ~]# firewall-cmd --state <!--查看防火墙允许状态-->
running
[root@centos01 ~]# systemctl stop firewalld<!--停止firewalld-->
[root@centos01 ~]# systemctl disable firewalld<!--设置开机不自动启动firewalld-->
[root@centos01 ~]# firewall-cmd --get-zones <!--查看防火墙预定义的区域-->
[root@centos01 ~]# firewall-cmd --get-service <!--查看防火墙支持的预定义服务类型-->
[root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系统的默认区域 -->
[root@localhost /]# firewall-cmd --reload <!--重载防火墙-->
[root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的区域-->

[root@centos01 ~]# firewall-cmd --get-icmptypes <!--显示预定义的ICMP类型-->
address-unreachable bad-header communication-prohibited destination-unreachable 
echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited
host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement
neighbour-solicitation network-prohibited network-redirect network-unknown 
network-unreachable no-route packet-too-big parameter-problem port-unreachable
precedence-cutoff protocol-unreachable redirect required-option-missing
router-advertisement router-solicitation source-quench source-route-failed time-exceeded
timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable 
tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly 
ttl-zero-during-transit unknown-header-type unknown-option

firewall-cmd --get-icmptypes命令执行结果中部分阻塞类型的含义如下：

destination-unreachable：目的地址不可达；echo-reply：应答回应；parameter-problem：参数问题；redirect：重新定向；router-advertisement：路由器通告；router-solicitation：路由器征寻；source-quench：源端抑制；time-exceeded：超时；timestamp-reply：时间戳应答回应；timestamp-request：时间戳请求；

2、firewalld区域管理选项

--get-default-zone：显示网络连接或接口的默认区域；--set-default-zone=<zone>：设置网络连接或接口的默认区域；--get-active-zones：显示已激活的所有区域；--get-zone-of-interface=<interface>：显示指定接口绑定的区域；--zone=<zone> --add-interface=<interface>：为指定接口绑定的区域；--zone=<zone> --change-interface=<interface>：为指定的区域更改绑定的网络接口；--zone=<zone> --remove-interface=<interface>：为指定的区域删除绑定的网络接口；--list-all=zones：显示所有区域及其规则；[--zone=<zone>] --list-all：显示所有指定区域的所有规则，省略--zone=<zone>时表示仅对默认区域操作；

区域管理示例如下：

[root@centos01 ~]# firewall-cmd --get-default-zone <!--显示当前系统中的默认区域-->
[root@centos01 ~]# firewall-cmd --list-all<!--显示默认区域的所有规则-->
[root@centos01 ~]# firewall-cmd --get-zone-of-interface=ens32 <!--查看ens32接口所在的区域-->
internal
[root@centos01 ~]# firewall-cmd --zone=internal --change-interface=ens32 <!--修改ens32接口对应的区域更改到internal区域-->
 The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-interface <!--查看internal区域的接口列表-->
ens32
[root@centos01 ~]# firewall-cmd --get-active-zones <!--显示所有激活区域-->
internal
 interfaces: ens32

3、firewalld服务管理

为了方便管理，firewalld预先定义了很多服务，存放在/usr/lib/firewalld/services/目录中，服务通过单个的XML配置文件来指定。这些配置文件则按以下格式命名：service-name.xml，每个文件对应一项具体的网络服务，如ssh服务等。我们需要将service配置文件放置在/etc/firewalld/services/目录中。service配置具有以下优点：

通过服务名字来管理规则更加人性化；
通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式；

1）firewalld-cmd命令区域中服务管理的常用选项说明：

[--zone=<zone>] --list-services：显示指定区域内允许访问的所有服务；

[--zone=<zone>] --add-service=<service>：为指定区域设置允许访问的某项服务；

[--zone=<zone>] --remove-service=<service>：删除指定区域已设置的允许访问的某项服务；

[--zone=<zone>] --list-ports：显示指定区域内允许访问的所有端口号；

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>：为指定区域设置允许访问的某个/某段端口号（包括协议号）；

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocl>：删除指定区域已设置的允许访问的端口号（包括协议名）；

[--zone=<zone>] --list-icmp-blocaks：显示指定区域内拒绝访问的所有ICMP类型；

[--zone=<zone>] --add-icmp-block=<icmptype>：为指定区域设置拒绝访问的某项ICMP类型；

[--zone=<zone>] --remove-icmp-block=<icmptype>：删除指定区域已设置的拒绝访问的某项ICMP类型，省略--zone=<zone>时表示对默认区域操作；

2）firewalld服务管理示例如下(为默认区域设置允许访问的服务)：

 [root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->
dhcpv6-client ssh 
[root@centos01 ~]# firewall-cmd --add-service=http <!--设置默认区域允许访问http服务-->
success
[root@centos01 ~]# firewall-cmd --add-service=https <!--设置默认区域允许访问https服务-->
success
[root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->

dhcpv6-client ssh https http

3）firewalld服务管理示例如下（为internal区域设置允许访问的服务）：

[root@centos01 ~]# firewall-cmd --zone=internal --add-service=MySQL 
 <!--设置internal区域允许访问mysql服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --remove-service=samba-client 
 <!--设置internal区域不允许访问Samba-client服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-services 
 <!--显示internal区域内允许访问的所有服务-->
ssh mdns dhcpv6-client mysql

4、端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作即可实现在internal区域打开443/TCP端口。示例如下：

 [root@centos01 ~]# firewall-cmd --zone=internal --add-port=443/tcp
 <!--在internal区域打开443/tcp端口-->
success

若想实现在internal区域禁止443/TCP端口访问，可执行以下命令：

 [root@centos01 ~]# firewall-cmd --zone=internal --remove-port=443/tcp
 <!--在internal区域禁止443/tcp端口访问-->
success

以上配置都为临时配置，若想将当前配置保存为永久配置，可以使用下面命令：

 [root@centos01 ~]# firewall-cmd --runtime-to-permanent
success

直接配置为永久性规则，须带--permanent选项，如下：

[root@centos01 ~]# firewall-cmd --add-icmp-block=echo-request --permanent <!--禁止ping-->

success
[root@centos01 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent 
 <!--配置external区域禁止ping-->
success

三、firewalld两种配置模式

前面提到firewall-cmd命令工具有两种配置模式：运行时模式（Runtime mode）表示当前内存中运行的防火墙配置，在系统或firewalld服务重启、停止时配置将失效；永久模式（Permanent mode）表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个：

--reload：重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置；

--permanent：带有此选项的命令用于设置永久性规则，这些规则只有在重新启动或重新加载防火墙规则时才会生效；若不带此项，表示用于设置运行时规则；

--runtime-to-permanent：将当前运行时的配置写入规则配置文件中，使当前内存中的规则称为永久性配置；