防火墙基本概述

一、防火墙基本概述

在CentOS7系统中集成了多款防火墙管理工具，默认启用的是firewalld（动态防火墙管理器）防火墙管理工具，Firewalld支持CLI（命令行）以及GUI（图形）的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉，但由于Iptables的规则比较的麻烦，并且对网络有一定要求，所以学习成本较高。但firewalld的学习对网络并没有那么高的要求，相对iptables来说要简单不少，所以建议刚接触CentOS7系统的人员直接学习Firewalld

需要注意的是：如果开启防火墙工具，并且没有配置任何允许的规则，那么从外部访问防火墙设备默认会被阻止，但是如果直接从防火墙内部往外部流出的流量默认会被允许。
#firewalld默认规则是全部拒绝
#iptable默认规则是全部允许

firewalld 只能做和IP/Port相关的限制，web相关的限制无法实现。

二、防火墙使用区域管理

那么相较于传统的Iptables防火墙，firewalld支持动态更新，并加入了区域zone的概念

简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据不同的场景选择不同的策略模板，从而实现防火墙策略之间的快速切换

需要注意的是Firewalld中的区域与接口

一个网卡仅能绑定一个区域， eth0 --> A区域
但一个区域可以绑定多个网卡; A区域 --> eth0 eth1 eth2
还可以根据来源的地址设定不同的规则。比如：所有人能访问80端口，但只有公司的IP才允许访问22端口。

trusted	允许所有的数据包流入流出
home	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量
internal	等同于home区域
work	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client、dhcpv6-client服务相关，则允许流量
public	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
external	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
区域选项	默认规则策略
block	拒绝流入的流量，除非与流出的流量相关
drop	拒绝流入的流量，除非与流出的流量相关

三、防火墙基本指令参数

参数	作用
zone区域相关指令
--get-default-zone	获取默认的区域名称
--set-default-zone=<区域名称>	设置默认的区域，使其永久生效
--get-active-zones	显示当前正在使用的区域与网卡名称
--get-zones	显示总共可用的区域
services服务相关命令
--get-services	列出服务列表中所有可管理的服务
--add-service=	设置默认区域允许该填加服务的流量
--remove-service=	设置默认区域不允许该删除服务的流量
Port端口相关指令
--add-port=<端口号/协议>	设置默认区域允许该填加端口的流量
--remove-port=<端口号/协议>	置默认区域不允许该删除端口的流量
Interface网卡相关指令
--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	将某个网卡与区域进行关联
--remove-interface=<网卡名称>	移除网卡
其他相关指令
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--reload	让“永久生效”的配置规则立即生效，并覆盖当前的哦诶之规则
IP相关指令
--add-source=<IP/位数>	设置默认区域允许该IP的流量
--remove-source=<IP/位数>	设置默认区域移除允许该IP的流量

四、防火墙区域配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙，必须启动firewalld服务，同时关闭以前旧的防火墙相关服务，需要注意firewalld的规则分为两种状态：

runtime运行时: 修改规则马上生效，但如果重启服务则马上失效，测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效，生产建议。