概述
防火墙是一种由软件和硬件组成的系统,它位于安全的网络和不安全的网络之间(例如内网和外网之间),并根据由系统管理员设置的规则对数据流进行过滤。
防火墙应满足以下要求:
所有进出网络的数据都要通过防火墙,但不一定需要过滤。
只允许经过授权的数据流通过防火墙。
防火墙自身对入侵是免疫的。
防火墙的主要功能包括:
地址转换。
网络环境支持。
带宽管理功能。
入侵检测和攻击防御。
用户认证。
高可用性。
可以作为部署 NAT 的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。
是审计和记录 Internet 使用费用的一个最佳地点。
可以作为 IPSec 的平台。
根据数据内容进行控制,如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息等。
在选购和使用防火墙时,您应该考虑其性能指标,例如吞吐量(防火墙能同时处理的最大数据量)和有效吞吐量(除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率)。此外,还要考虑防火墙的四种控制机制:服务控制、方向控制、用户控制和行为控制。
总之,防火墙是网络安全的重要组成部分,选购和使用时务必谨慎。
探索
firewalld是自CentOS 7以来带有一个动态的、可定制而无需重新启动防火墙守护程序或服务。firewall-cmd就是iptables/nftable的前端。在CentOS 8中,nftables取代iptables成为默认的Linux网络包过滤框架。本文介绍如何为您的CentOS 8设置防火墙,并借助firewall-cmd管理工具进行管理。
FirewallD的基本概念
在CentOS7之后,当你使用firewalld时,有两个基本概念,你必须要知道的
服务(service)
区域(zone)
在传统的iptables基于规则的顺序的匹配先后顺序来多数据包进行处理,处理的动作基本上非黑即白这
个逻辑,因此iptables的基于规则列表的运行机制相对固化,缺少灵活性。而firewalld将传入的流量分类到由源IP和/或网络接口定义的区域中。每个区域都有的配置,可以根据指定的标准接受或拒绝数据包。
firewalld不仅打破来规则列表固化的先后顺序,而且将以往iptables规则中的tcp/ip信息,使用了一个叫service(服务)来独立封装在一个xml文本中,让使用者更加容易记忆和理解.
什么叫service?粗暴地说,就是应用协议,而与该协议相关的应用能为你做什么。
例如,我上网经常用到tcp协议的80端口和443端口,还有域名解析要用到udp协议的35端口,访问共享文件夹需要用到udp端口的137和138端口,OK,我们这些常用的应用,firewalld都已经内置了。因此在防火墙的配置和管理会变得简单以及人性化。
而理解区域就更简单了,就是对各种内置服务预分组的集合。您可以通过运行以下ls命令查看所有区域,没错,区域也是以XML文档内容预定义在Linux系统中的
linux 开放端口
1.临时端口,重启防火墙或者服务器后失效
firewall-cmd --zone=public --add-port=8053/tcp
2.永久端口
# 永久开放端口 ,执行完 需要再重启下防火墙 firewall-cmd --permanent --zone=public --add-port=80/tcp firewall-cmd --reload 刷新生效
3.查看开放端口列表
# linux 查看开放端口列表 firewall-cmd --list-all
防火墙开启和关闭
1、重启、关闭、开启firewalld.service服务
service firewalld restart 重启 service firewalld start 开启 service firewalld stop 关闭
2、查看firewall服务状态
systemctl status firewall
3、查看firewall的状态
firewall-cmd --state
