Linux firewall防火墙详解（一）——firewall基础知识简介

今天继续给大家介绍Linux基础知识，本文主要内容是Linux firewall防火墙基础知识介绍。

一、firewall基础知识

firewall是CentOS 7版本后的自带防火墙管理工具，与iptables不同，firewall是一款动态防火墙管理工具。所谓动态防火墙，是指firewall在运行时，任何规则的变更都不需要对防火墙规则列表进行重新加载，只需要将变更部分保存并更新运行即可。相对应的，当用户使用iptables添加规则时，如果想要让规则永久保存，需要执行命令serivce iptables save（注：该命令的执行需要安装iptables.serivces），才可以永久保存置配置文件中，并且在重启后，配置依旧存在。在整个过程中，iptables会对防火墙的规则列表重读一遍，加载到内核。

二、firewall区域介绍

在firewall防火墙中，引入了区域的概念，所谓区域，就类似于windows在选择网络时可以设置家用网络、公用网络等等，本质上是一系列数据包过滤的规则，firewall可以将网卡设置为一个指定的区域。在firewall中，一共有9种区域，分别如下：
1、drop
drop区域即“丢弃”，任何接受到的数据包都会被丢弃，没有任何回复。
2、block
block区域即“限制”，任何接受到的数据包会被拒绝，并且给予回复。
3、public
在公共区域使用，认为网络中可能存在其他的计算机对系统造成危害，因此只接受经过选取的链接。public区域是网卡所处的默认区域。
4、external
external区域即“外部”，相比于public，external对网络的限制更为严格，设置为external的区域，会进行类似DNAT的伪装，并且只允许SSH链接通过。
5、dmz
dmz区域即“非军事化区”，一般用于DMZ区域的主机，此区域可以公开访问，可以有限的进入内部链接，仅仅接收经过选择的链接。
6、work
用于工作区，对区域认为是基本安全的网络，但是也仅仅接收有选择的连接。
7、home
home区域即“家庭”，相比于work，对该网络更加信任，但是也仅仅接收有选择的连接。
8、internal
internal区域即“内部”，相比于home，对该网络更加信任，可以接受更多的网络连接。
9、trusted
trusted区域即“信任”，被认为可以完全信任该区域的计算机，可以接受任何网络连接。
fireall防火墙在引入了区域的配置后，我们就可以把一个网卡设置为某一区域，那么这个网卡就自动接受了该区域的规则了。

三、firewall服务简介

在/usr/lib/firewalld/serivces/目录中，还存在了firewall的服务配置文件，每个文件是以xml格式的，对应一项具体的服务，根据文件名称我们可以大致看出其所对应的服务。该目录下一共含有100多项默认服务，如下所示：

执行命令：

firewall-cmd --get-serivces

也可以列举出firewall防火墙所支持的服务，如下所示：

如果我们想自定义服务，或者是想修改上述服务的内容（事实上，对服务的修改是很常见的，比如如果我们的web服务器开放的端口进行改变，就需要修改相应的服务），我们需要将新的自定义的服务或者是修改后的服务放在/etc/firewalld/目录下，而不是直接在/usr/lib/firewalld/serivces/目录下进行修改。事实上，firewall防火墙在读取服务时，也会优先查找/etc/firewalld/目录下的服务。
firewall通过服务来进行配置的好处主要有以下两点：
1、通过服务配置，可以直观的将服务名称命名为服务相关的内容。
2、一个服务文件可以直接配置多个端口，这样相当对与端口管理的批量操作。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200