Linux-RHCE精讲教程之防火墙工具firewalld-配置基本规则

# 1. 概述防火墙及firewalld

1.1 什么是防火墙？

防火墙是一种网络安全系统，通过监控和控制网络流量来保护内部网络免受恶意访问或攻击。它可以根据预定义的规则过滤数据包，并决定允许还是阻止它们通过网络。防火墙可以分为软件防火墙和硬件防火墙。

1.2 firewalld的作用和特点

firewalld是Linux系统中的一个动态防火墙管理工具，由Red Hat公司开发并默认提供支持。它能够根据不同的网络环境和需求动态调整防火墙规则，支持防火墙规则的热加载，不需要重启服务即可生效。firewalld提供了简单易用的命令行工具和图形化界面，方便管理员进行配置和管理。

1.3 firewalld与传统防火墙的区别

传统的防火墙通常基于iptables，需要手动编写规则，配置复杂且容易出错，而firewalld采用zone-based管理和基于服务的配置方式，管理更加灵活和简单。Firewalld还支持通过D-Bus接口实现了动态的防火墙管理，并且容易集成到其他系统组件中。

以上是关于防火墙和firewalld的概述，接下来我们将学习如何配置和使用firewalld来保护系统和网络。

# 2. firewalld的基本配置

firewalld作为Linux系统中的一款动态防火墙管理工具，在进行基本配置之前，首先需要确保firewalld已经安装并处于运行状态。

### 2.1 安装和启动firewalld

安装firewalld非常简单，可以使用以下命令在CentOS/RHEL系统上进行安装：

sudo yum install firewalld

安装完成之后，可以使用以下命令来启动firewalld服务并设置开机自启动：

sudo systemctl start firewalld
sudo systemctl enable firewalld

### 2.2 firewalld的基本命令和语法

firewalld提供了丰富的命令和语法来进行防火墙配置，常用的命令包括：

- `firewall-cmd`：用于配置firewalld的命令行工具，可用于添加/移除规则、查询状态等。
- `firewall-cmd --zone=public --add-port=80/tcp`：添加允许公共区域访问80端口的规则。
- `firewall-cmd --reload`：重新加载防火墙配置，使修改生效。

### 2.3 配置firewalld的默认策略

在配置firewalld的基本规则之前，通常需要先了解和配置默认策略，以确定未明确设置规则的情况下的默认行为。可以使用以下命令进行默认策略的配置：

# 查看默认策略
firewall-cmd --get-default-zone

# 设置默认策略为public
firewall-cmd --set-default-zone=public

从以上内容可以看出，firewalld的基本配置非常简单，并且提供了丰富的命令和语法来进行灵活的防火墙配置。接下来，我们将深入探讨如何配置基本防火墙规则。

# 3. 配置基本防火墙规则

防火墙规则是防火墙对网络流量进行过滤和控制的基本策略，能够帮助管理员精确地控制网络的访问权限。在firewalld中，可以通过配置基本防火墙规则来实现对特定端口、IP地址段和服务的访问控制。

#### 3.1 允许/拒绝特定端口的访问

在firewalld中，可以通过添加端口规则来允许或者拒绝特定端口的访问。例如，我们可以允许外部主机访问SSH服务（端口22）：

# 添加允许SSH访问的规则
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
# 重新加载防火墙配置
sudo firewall-cmd --reload

在上述代码中，`sudo firewall-cmd --zone=public --add-port=22/tcp --permanent`命令用于添加允许外部访问SSH服务的端口规则，`--permanent`选项表示永久生效；`sudo firewall-cmd --reload`用于重新加载防火墙配置。

#### 3.2 配置IP地址段的访问规则

除了单个端口的访问规则，我们还可以配置特定的IP地址段的访问规则。例如，限制特定IP地址段对HTTP服务（端口80）的访问：

# 添加允许指定IP地址段访问HTTP服务的规则
sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="http" accept' --permanent
# 重新加载防火墙配置
sudo firewall-cmd --reload

以上命令中的`--add-rich-rule`参数用于添加丰富规则，限制IP地址段对HTTP服务的访问。

#### 3.3 定义服务的访问规则

除了端口和IP地址段的访问规则，firewalld还支持定义服务的访问规则。例如，我们可以允许HTTP服务的访问：

# 添加允许HTTP服务访问的规则
sudo firewall-cmd --zone=public --add-service=http --permanent
# 重新加载防火墙配置
sudo firewall-cmd --reload

上述命令中的`--add-service=http`表示允许HTTP服务的访问，在添加规则后需重新加载防火墙配置。

通过以上的规则配置，我们可以实现对特定端口、IP地址段和服务的访问控制，保障网络的安全和稳定性。

# 4. 配置网络地址转换(NAT)规则

网络地址转换(NAT)是一种在网络上广泛使用的技术，可以实现私有网络与公共网络之间的通信和数据传输。在Linux系统中，我们可以使用firewalld来配置NAT规则，从而实现网络地址转换功能。

#### 4.1 什么是NAT？

NAT（Network Address Translation）指的是将内部网络中的IP地址和端口转换为另一组IP地址和端口的过程，通常用于隐藏内部网络结构、节省IP地址等目的。

#### 4.2 使用firewalld实现NAT

下面是在Linux系统中使用firewalld配置NAT规则的步骤：

1. 启用IP转发功能：

sudo sysctl net.ipv4.ip_forward=1

2. 添加NAT规则：

sudo firewall-cmd --permanent --zone=public --add-masquerade

3. 重新加载firewalld配置：

sudo firewall-cmd --reload

#### 4.3 配置端口转发

除了简单的IP地址转换外，firewalld还支持端口转发，可以将外部访问某个端口的请求转发至内部网络的另一个端口。以下是配置端口转发的示例：

1. 将外部80端口的请求转发至内部服务器的8080端口：

sudo firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080

2. 重新加载firewalld配置：

sudo firewall-cmd --reload

通过以上步骤，我们可以在Linux系统上配置并实现网络地址转换(NAT)功能，以及配置端口转发规则，从而更灵活地管理网络流量和资源分配。

# 5. 配置防火墙高级规则

在这一章节中，我们将深入探讨如何使用firewalld配置防火墙高级规则，包括使用rich规则进行更灵活的配置、配置日志记录规则以及基于时间的访问控制。

#### 5.1 使用rich规则进行更灵活的配置

在firewalld中，rich规则是一种更加灵活和复杂的规则配置方法，可以实现更加细粒度的访问控制，比如限制特定IP地址的访问、指定服务类型等。

下面是一个使用rich规则配置允许特定IP地址段访问SSH服务的示例：

# 添加允许IP地址段访问SSH服务的rich规则
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

# 重新载入防火墙配置
sudo firewall-cmd --reload

代码总结：上面的代码使用rich规则允许了IP地址段为192.168.1.0/24的主机访问SSH服务，并且是永久生效的。

结果说明：配置完成后，只有192.168.1.0/24网段内的主机可以访问当前系统的SSH服务。

#### 5.2 配置日志记录规则

在一些情况下，我们需要记录特定规则的访问记录，以便后续审计和分析。

下面是一个配置日志记录规则的示例：

# 添加拒绝特定IP地址访问Web服务的规则，并记录日志
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="10.0.0.2" service name="http" reject with icmp-port-unreachable log'

# 重新载入防火墙配置
sudo firewall-cmd --reload

代码总结：上述代码为拒绝IP地址为10.0.0.2的主机访问Web服务的规则，并记录访问日志。

结果说明：当IP地址为10.0.0.2的主机尝试访问Web服务时，将被防火墙拒绝并记录日志。

#### 5.3 基于时间的访问控制

firewalld还支持基于时间的访问控制，可以根据时间段来限制访问。

下面是一个基于时间的访问控制示例，只允许工作日的某个时间段访问SSH服务：

# 添加基于时间的访问控制规则，只允许周一至周五的9:00-17:00访问SSH服务
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" service name="ssh" time day=Mon,Tue,Wed,Thu,Fri start-time=09:00 end-time=17:00 accept'

# 重新载入防火墙配置
sudo firewall-cmd --reload

代码总结：上述代码限制了周一至周五的9:00到17:00时间段内才能访问SSH服务。

结果说明：在指定时间段外访问SSH服务的请求将被防火墙拦截。

# 6. 实际案例分析与实操

在本章中，我们将通过实际案例来展示如何配置和操作firewalld，帮助读者更好地理解和应用防火墙工具。

#### 6.1 实际环境下的firewalld配置案例

在这个案例中，我们假设有一个Web服务器，需要对外提供HTTP服务，并且需要保护服务器免受攻击。我们将使用firewalld配置防火墙规则。

1. 首先，假设Web服务器默认监听的端口是80，我们需要允许对外访问该端口：

   firewall-cmd --zone=public --add-port=80/tcp --permanent
   firewall-cmd --reload

这段代码将允许TCP 80端口的访问，并将规则永久生效。

2. 接下来，我们希望只允许特定IP段的主机访问我们的Web服务器，比如192.168.1.0/24网段：

   firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent
   firewall-cmd --reload

这段代码将只允许192.168.1.0/24网段的主机访问我们的Web服务器。

#### 6.2 完整示例：搭建防火墙保护Web服务器

在这个示例中，我们将结合以上的基本规则，通过firewalld搭建一个保护Web服务器的防火墙策略，确保服务器安全运行。

#### 6.3 实操：通过firewalld实现安全的远程访问管理

在这一部分，我们将演示如何使用firewalld来配置安全的远程访问管理策略，以确保服务器可以安全地进行远程管理操作。

通过以上案例和实操内容，读者可以更直观地了解如何配置和操作firewalld，保护服务器安全运行。