UDN-企业互联网技术人气社区

板块导航

浏览  : 1243
回复  : 0

[运维] 使用 firewalld 构建 Linux 动态防火墙(下)

[复制链接]
genie1003的头像 楼主
发表于 2016-9-10 10:10:30 | 显示全部楼层 |阅读模式
  接上篇

  使用图形化工具配置动态防火墙

  firewall-config 简介

  firewall-config 支持防火墙的所有特性。管理员可以用它来改变系统或用户策略。通过 firewall-config 用户可以配置防火墙允许通过的服务、端口 、伪装 、端口转发 、和 ICMP 过滤器和调整 zone(区域)设置等功能以使防火墙设置更加的自由、安全和强健。firewall-config 工作界面见图 3。

  图 3. firewall-config 工作界面
3.png

  firewall-config 工作界面分成三个部分:上面是主菜单,中间是配置选项卡。下面是区域、服务、ICMP 端口、白名单等设置选项卡。最底部是状态栏(状态栏显示四个信息:从左到右以此是连接状态、默认区域、锁定状态、应急模式)。说明:在左下方角落寻找“已连接”字符,这标志着 firewall-config工具已经连接到用户区后台程序 firewalld。注意,ICMP 类型、直接配置 (Direct Configuration)和锁定白名单 (Lockdown Whitlist)标签只在从 查看下拉菜单中选择之后才能看见。

  firewall-config 主菜单

  firewall-config 主菜单包括四个选项:文件,选项,查看,帮助。其中选项子菜单是最主要的,它包括几个部分:

  • 重载防火墙:重载防火墙规则。例如所有现在运行的配置规则如果没有在永久配置中操作,那么系统重载后会丢失。
  • 更改连接区域:更改网络连接的默认区域。
  • 改变默认区域:更改网络连接的所属区域和接口。
  • 应急模式:应急模式意味着丢弃所有的数据包。
  • 锁定:锁定可以对防火墙配置就行加锁,只允许白名单上的应用程序进行改动。锁定特性为 firewalld 增加了锁定本地应用或者服务配置的简单配置方式。它是一种轻量级的应用程序策略。

  配置选项卡

  firewall-config 配置选项卡包括:运行时和永久。

  运行时:运行时配置为当前使用的配置规则。运行时配置并非永久有效,在重新加载时可以被恢复,而系统或者服务重启、停止时,这些选项将会丢失。

  永久:永久配置规则在系统或者服务重启的时候使用。永久配置存储在配置文件种,每次机器重启或者服务重启、重新加载时将自动恢复。

  区域选项卡

  区域选项卡是一个主要设置界面:

  网络或者防火墙区域定义了连接的可信程度。firewalld 提供了几种预定义的区域。区域配置选项和通用配置信息可以在 firewall.zone(5) 的手册里查到。这里的区域是服务、端口、协议、伪装、ICMP 过滤等组合的意思。区域可以绑定到接口和源地址。服务子选项卡定义哪些区域的服务是可信的。可信的服务可以绑定该区的任意连接、接口、和源地址,配置界面见图 4。

  图 4. 服务选项卡
4.png

  端口子选项卡

  端口子选项卡用来设置允许主机或者网络访问的端口范围,配置界面见图 5。

  图 5. 端口子选项卡
5.png

  要允许流量通过防火墙到达某个端口,则启动 firewall-config 并选择您想更改设定的网络区域。选择 端口 图标并点击右边的 添加 按钮,Port and Protocol 就打开了。

  输入端口数量或者端口号范围,获得许可。从下拉菜单中选择 tcp 或者 udp。

  伪装子选项卡

  伪装子选项卡用来把私有网络地址可以被映射到公开的 IP 地址。目前只能适用于 Ipv4,配置界面见图 6。

  图 6. 伪装子选项卡
6.png

  要将 IPv4 地址转换为一个单一的外部地址,则启动 firewall-config工具并选择需要转换地址的网络区域。选择 伪装标签和复选框以便把 IPv4 地址转换成一个单一的地址。

  端口转发子选项卡

  端口转发可以映射到另一个端口以及 / 或者其他主机,配置界面见图 7。

  图 7 . 端口转发子选项卡
7.png

  为一个特定端口转发入站网络流量或“packets”到一个内部地址或者替代端口,首先激活伪装 IP 地址,然后选择 端口转发标签。在窗口靠上部分选择入站流量协议和端口或者端口范围。靠下部分是用于设置目的端口细节的。

  要转发流量到一个本地端口即同一系统上的端口,需选择本地转发复选框,输入要转发的流量的本地端口或者端口值范围。要转发流量到其他的 IPv4 地址,则选择转发到另一个端口复选框,输入目的地 IP 地址和端口或者端口范围。如果端口位置空缺则默认发送到同一个端口。点击 确定按钮执行更改。

  ICMP 过滤器子选项卡

  ICMP 过滤器可以选择 Internet 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应,配置界面见图 8。

  图 8. ICMP 过滤器子选项卡
8.png

  要使用或者禁用一个 ICMP 过滤,则启动 firewall-config 工具并选择要过滤其信息的网络区域。选择 ICMP Filter 图标并选择每种您需要过滤的 ICMP 信息类型的复选框。清除复选框以禁用过滤。这种设定是单向的,默认允许全部。

  直接配置选项卡

  直接配置选项卡包括三个子选项卡:链、规则和穿通见图 9。说明一下这个选项卡主要用于服务或者应用程序增加特定的防火墙规则。这些规则并非永久有效,并且在收到 firewalld 通过 D-Bus 传递的启动、重启、重载信号后需要重新应用。

  图 9. 直接配置选项卡
9.png

  改变防火墙设置

  要立刻改变现在的防火墙设置,须确定当前视图设定在 运行时。或者,从下拉菜单中选择永久(Permanent)见图 10,编辑下次启动系统或者防火墙重新加载时执行的设定。

  在运行时(Runtime)模式下更改防火墙的设定时,一旦您启动或者清除连接服务器的复选框,选择立即生效。在 Permanent模式下更改防火墙的设定,仅仅在重新加载防火墙或者系统重启之后生效。可以使用 文件菜单下的重新加载图标,或者点击 选项菜单,选择 重新加载防火墙。

  图 10. 从下拉菜单中选择永久(Permanent)
10.png

  修改默认分区

  要设定一个将要被分配新接口的分区作为默认值,则启动 firewall-config,从菜单栏选择选项卡,由下拉菜单中选择修改默认区域,出现默认区域窗口见图 11。从给出的列表中选择您需要用的分区作为默认分区,点击确定按钮即可。

  图 11. 修改默认分区
11.png

  总结

  对于 Linux 系统管理员来说 firewalld 是一个非常好用的安全工具,它可以让 Linux 系统安全性更加强大。
原文作者:佚名 来源:云技术实践

相关帖子

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部