Linux-RHCE精讲教程之防火墙工具firewalld-概述和安装

# 1. 理解防火墙和firewalld

## 1.1 什么是防火墙及其作用

在计算机网络中，防火墙是一种网络安全设备，用于监控网络流量并决定允许或拒绝数据包的传输。防火墙可通过设置规则来过滤流经网络的数据包，从而保护计算机免受网络攻击和不必要的网络流量干扰。

防火墙的主要作用包括：
- 过滤网络流量：根据预定义的规则，防火墙可以过滤进出网络的数据包，阻止潜在的攻击和不明来源的流量。
- 网络访问控制：防火墙可限制特定IP地址、端口或协议的访问权限，从而确保网络资源只被授权用户使用。
- 隔离网络区域：通过定义不同的安全区域（Zone），防火墙可以隔离内部网络和外部网络，提高网络安全性。

## 1.2 firewalld简介与特点

Firewalld是Linux系统中的一种动态防火墙管理器，可以根据网络连接的状态动态调整防火墙规则。相较于传统的静态防火墙管理工具，如iptables，firewalld具有以下特点：
- 支持动态更新：能够在运行时动态更新防火墙规则，响应网络连接状态的变化。
- 管理简便：提供了简单的命令行工具和图形界面，易于管理和配置防火墙规则。
- 区域概念：引入了区域（Zone）的概念，便于管理不同安全级别的网络区域。
- 支持服务管理：可以使用预定义的服务配置规则，简化了规则设置的复杂性。
- 支持负载均衡：能够在多个网络接口之间进行负载均衡，提高网络性能和可用性。

通过对firewalld的简介和特点的了解，我们可以开始深入学习其基本概念及使用方法。

# 2. firewalld的基本概念

### 2.1 区域（Zone）的概念和作用

在firewalld中，区域是一种逻辑术语，用来定义信任级别及相关规则。每个区域有其默认设置，包括允许的服务和端口。例如，public区域可能会开放SSH端口，而internal区域可能会允许所有端口。

要查看当前系统中的默认区域列表，可以使用以下命令：

firewall-cmd --get-default-zone

要将接口添加到特定区域，可以运行：

firewall-cmd --zone=public --add-interface=eth0

### 2.2 服务（Service）的定义和用途

服务在firewalld中指的是预定义的应用程序或协议，其定义了一组协议和端口号。例如，HTTP、HTTPS、SSH等都是服务。通过使用预定义的服务，可以更轻松地配置规则，而不必记住每个应用程序的端口号。

要列出系统中可用的所有服务，可以执行：

firewall-cmd --get-services

要允许特定服务通过防火墙，可以运行：

firewall-cmd --zone=public --add-service=http

# 3. 安装和配置firewalld

在这一章节中，我们将详细介绍如何在Red Hat Enterprise Linux上安装和配置firewalld防火墙工具。

#### 3.1 在Red Hat Enterprise Linux上安装firewalld

要在Red Hat Enterprise Linux上安装firewalld，可以使用以下命令：

sudo yum install firewalld

安装完成后，可以使用以下命令验证firewalld是否成功安装：

sudo firewall-cmd --version

#### 3.2 启动和停止firewalld服务

启动firewalld服务：

sudo systemctl start firewalld

停止firewalld服务：

sudo systemctl stop firewalld

要设置firewalld开机自启动，可以使用以下命令：

sudo systemctl enable firewalld

#### 3.3 配置firewalld默认区域

可以使用以下命令查看当前默认区域：

sudo firewall-cmd --get-default-zone

要更改默认区域为public，可以执行以下命令：

sudo firewall-cmd --set-default-zone=public

完成以上步骤后，您就成功安装和配置了firewalld，并设置了默认区域。

在下一章节中，我们将介绍如何使用firewalld进行网络端口管理。

# 4. 使用firewalld进行网络端口管理

在本章中，我们将学习如何使用firewalld进行网络端口的管理。我们将探讨如何开放/关闭端口，区分永久性和临时性规则的区别，以及如何加载预定义服务。

#### 4.1 开放/关闭端口

要开放一个端口，可以使用以下命令：

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload

这将在公共区域（Zone）中永久性地开放80端口，并且通过重新加载firewalld使更改生效。

要关闭一个端口，可以使用以下命令：

firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --reload

这将在公共区域中永久性地关闭80端口，并且通过重新加载firewalld使更改生效。

#### 4.2 永久性和临时性规则的区别

通过`--permanent`参数添加的规则是永久性规则，会在firewalld服务重启后依然有效。如果想要立即生效且不永久性的规则，可以省略`--permanent`参数。

#### 4.3 加载预定义服务

firewalld通过安装预定义的服务提供了方便的规则配置。要加载预定义服务，可以使用以下命令：

firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload

这将在公共区域中永久性地加载HTTP服务，并且通过重新加载firewalld使更改生效。

通过学习本章内容，你将掌握使用firewalld进行网络端口管理的基本操作和技巧。

# 5. Firewalld的高级功能

在这一章中，我们将探讨firewalld防火墙工具的高级功能，包括使用rich rules进行更精细的配置、配置网络地址转换（NAT）以及使用日志功能监控防火墙活动。让我们深入了解这些高级功能的应用。

#### 5.1 使用rich rules进行更精细的配置

Rich rules是firewalld防火墙工具提供的一个强大特性，可以让管理员对网络流量进行更细粒度的控制。rich rules允许管理员定义更复杂的规则，包括源IP、目标IP、源端口、目标端口等。

下面是一个使用rich rules的示例，假设我们需要允许只有特定源IP地址的HTTP流量通过防火墙：

# 使用rich rules允许特定源IP地址的HTTP流量通过防火墙
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="http" accept'

上述命令中，我们通过`--add-rich-rule`选项定义了一条rich rule，指定了源地址为192.168.1.100，服务为HTTP，动作为接受（accept）。这样做可以确保只有特定源IP地址的HTTP流量能够通过防火墙。

#### 5.2 配置网络地址转换（NAT）

除了简单的数据包过滤，firewalld还支持配置网络地址转换（NAT），用于将内部网络的IP地址映射为外部网络的IP地址，实现内部网络访问外部网络的功能。

以下是配置NAT的示例，假设我们需要将内部网络的HTTP流量映射到外部网络：

# 配置NAT，将内部网络的HTTP流量映射到外部网络
sudo firewall-cmd --zone=public --add-masquerade --permanent
sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080

上述命令中，我们使用`--add-masquerade`选项添加了一个masquerade规则，用于NAT转换。然后使用`--add-forward-port`选项指定了一条端口映射规则，将80端口的流量转发到8080端口。

#### 5.3 使用日志功能监控防火墙活动

firewalld还提供了日志功能，用于记录防火墙活动。管理员可以通过查看防火墙的日志来监控网络流量和了解防火墙的工作状态。

以下是通过journalctl命令查看firewalld日志的示例：

# 查看firewalld的日志
sudo journalctl -u firewalld

通过上述命令，我们可以查看firewalld服务的日志，以便监控防火墙活动并及时发现问题。

通过本章内容的学习，读者将能够充分利用firewalld的高级功能，实现更精细的网络流量控制、配置NAT以及监控防火墙活动。

# 6. firewalld与系统管理集成

在本章中，我们将探讨如何将firewalld与系统管理集成，包括使用systemd单元集成、通过firewall-cmd命令行管理防火墙以及使用firewalld图形化界面配置防火墙。这些内容将帮助读者更好地理解如何在实际环境中进行防火墙管理和配置。

### 6.1 将firewalld与systemd单元集成

在Linux系统中，firewalld通常与systemd单元一起使用。这意味着我们可以通过systemd来管理firewalld的启动、停止以及配置。以下是一些常用的systemd命令：

- 启动firewalld服务：

  sudo systemctl start firewalld

- 停止firewalld服务：

  sudo systemctl stop firewalld

- 设置firewalld开机自启动：

  sudo systemctl enable firewalld

- 禁止firewalld开机自启动：

  sudo systemctl disable firewalld

### 6.2 使用firewall-cmd命令行管理防火墙

firewall-cmd是一个非常强大的命令行工具，可以用于管理firewalld防火墙的配置。以下是一些常见的firewall-cmd命令示例：

- 显示活动的Zone：

  sudo firewall-cmd --get-active-zones

- 将网络接口添加到指定Zone：

  sudo firewall-cmd --zone=public --add-interface=eth0 --permanent

- 开放特定端口：

  sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

- 重新加载firewalld配置：

  sudo firewall-cmd --reload

### 6.3 使用firewalld图形化界面配置防火墙

除了命令行工具外，firewalld还提供了图形化的配置界面。在桌面环境下，可以通过firewall-config命令打开该界面，然后通过可视化操作来配置防火墙规则和Zone。

以上是关于firewalld与系统管理集成的内容，通过这些方法，可以更高效地进行防火墙管理和配置。