Linux防火墙介绍

3.1 防火墙基础概念

防火墙是一种用于控制网络流量进出主机或网络的安全设备或软件。它通过设定规则,允许或阻止特定的数据包,从而保护系统免受未授权访问和网络攻击。

  • 作用:隔离内外网、限制端口访问、阻止恶意流量
  • 类型:主机防火墙(如 Linux 的 firewalld、iptables)、网络防火墙(如硬件防火墙设备)

3.2 firewalld 的 zone(区域)

firewalld 提供多种 zone(区域),每种区域代表不同的信任级别和默认策略。常见区域如下:

区域名说明
drop丢弃所有入站连接,不回复任何信息,只允许出站
block拒绝所有入站连接,回复拒绝信息,只允许出站
public公共区域,信任度最低,仅允许选定的入站连接
external用于外部网络,通常用于路由器,启用伪装(NAT)
dmz非军事区,允许选定的入站连接,适合放置对外服务的主机
work工作区,信任度较高,允许更多入站连接
home家庭网络,信任度高,允许大部分入站连接
internal内部网络,信任度最高,允许几乎所有入站连接
trusted完全信任,允许所有连接

实际使用时,建议根据网络环境选择合适的区域,并将接口(网卡)绑定到对应区域。

一台机器的不同网卡(接口)可以绑定到不同的 firewalld 区域,实现多网段/多安全域的灵活管理。

3.3 防火墙策略控制方向

  • 主要作用:防火墙主要控制"别人访问我"(入站流量),即哪些外部主机/端口可以访问本机的哪些服务。
  • 也可控制出站:部分场景下也可以设置"我访问别人"(出站流量),如限制本机访问外部某些地址或端口。
  • 总结:防火墙既可以管"入站"也可以管"出站",但日常最常用的是限制入站访问。

3.4 firewalld 常用命令

# 查看防火墙状态
sudo firewall-cmd --state

# 启动 firewalld
sudo systemctl start firewalld

# 停止 firewalld
sudo systemctl stop firewalld

# 重载 firewalld 配置
sudo firewall-cmd --reload

# 查看所有区域
sudo firewall-cmd --get-zones

# 查看当前默认区域
sudo firewall-cmd --get-default-zone

# 查看某区域已开放的端口和服务
sudo firewall-cmd --zone=public --list-all

# 将网卡接口绑定到某个区域(如 eth0 绑定到 work)
sudo firewall-cmd --zone=work --change-interface=eth0 --permanent
sudo firewall-cmd --reload

# 开放端口(如 8080),永久生效
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --reload

# 移除端口
sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
sudo firewall-cmd --reload

# 开放服务(如 http)
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload

# 不设置端口,仅允许某服务(如 ssh)
sudo firewall-cmd --zone=public --add-service=ssh --permanent
sudo firewall-cmd --reload

3.5 --permanent 的含义

  • --permanent 表示"永久生效",即将规则写入配置文件,重启后依然有效。
  • 不加 --permanent 只会临时生效,重启 firewalld 或系统后失效。
  • 修改永久规则后,需执行 sudo firewall-cmd --reload 使其生效。

3.6 firewalld 与 iptables 的关系

  • firewalld 实际上是一个"防火墙管理工具",通过更友好的命令和配置方式,动态生成和管理底层的 iptables(或 nftables)规则。
  • 你用 firewall-cmd 配置的规则,最终会被 firewalld 转换为 iptables 规则,由内核防火墙模块执行。
  • 不要同时手动用 iptables 和 firewalld 管理规则,否则可能冲突。

3.7 iptables 简介与常用命令

  • iptables 是 Linux 传统的防火墙工具,通过规则链(Chain)和表(Table)实现流量过滤。
  • 优点:灵活强大,适合复杂场景;但配置相对繁琐。
# 查看当前规则
sudo iptables -L -n -v

# 开放端口(如 8080)
sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

# 删除规则(需与添加时参数一致)
sudo iptables -D INPUT -p tcp --dport 8080 -j ACCEPT

# 保存规则(不同系统命令略有差异)
sudo service iptables save   # CentOS 6
sudo iptables-save > /etc/iptables/rules.v4  # Ubuntu

3.8 firewalld 与 iptables 区别与建议

  • firewalld:基于 zone,支持动态修改,适合新手和日常维护
  • iptables:基于规则链,灵活性高,适合高级用户和复杂场景
  • 兼容性:firewalld 底层仍可调用 iptables,二者不可同时直接管理同一规则
  • 建议:日常使用推荐 firewalld,简单易用;需要精细化控制或脚本自动化时可用 iptables;修改防火墙规则前建议备份配置,避免误操作导致远程连接中断。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值