firewalld是一个基于网络区域的动态管理防火墙的守护进程。在iptables中需要理解表,链等概念,而在firewalld中需要从理解区域的概念开始
防火墙依照特定的规则允许或限制输出的数据通过。是否允许包通过防火墙,取决于防火墙的配置规则,每一条规则均有一个目标动作,具有相同动作的规则可以分组在一起。这些规则既可以使内置的,又可以是用户自定义的,实际上一个区域就是一套防火墙规则。基于用户对网络中设备和通信所给予的信任程度,防火墙可将网络划分成不同的区域。
区域的概念
firewalld使用网络区域顶i有网络连接的可信等级,这是一个一对多的关系,意味着一个连接可以仅仅是一个区域的一部分,而一个区域可以用作许多的网络连接
一个区域就是一套过滤规则,也相当于一组安全策略,数据包必须经过某个区域才能传入或者传出。不同区域定义不同的过滤规则和安全措施。每个区域对应一个xml配置文件,文件名为<去域名称>.xml
其中定义规则。
区域的目标
每个区域都有一个目标,即默认的处理行为,共有以下四个目标可用
default(默认):默认拒绝数据包过滤,指用明确选中的服务或端口才允许通过,
ACCEPT(接受):默认允许所有数据包通过
%%REJECT%%(拒绝):默认丢弃任何数据包,并向发送者发挥一个错误的数据包
DROP(丢包):默认丢弃任何数据包,不反馈任何信息。
区域定义的防火墙特性
每个区域都可以设置要打开或关闭的端口,服务列表,这可以使用多种防火墙特型来定义过滤规则,如允许预定义服务ssh。
区域的应用顺序
每个区域都有一套规则,mi俺对多个区域的情况下,一个通过的数据包,firewalld依次应用以下区域:源地址绑定的区域,网络接口绑定的的区域,firewalld默认配置的区域
对于通过的每个数据包,firewalld将首先检查其源代码,如果源代码绑定到特定区域,则将分析并应用该区域额的规则,如果源地址并未绑定到某个区域,则将数据包交由网络接口所绑定的区域。如果网罗接口未与某区域绑定,则见使用默认区域,默认情况下,系统会使用public区域作为默认区域,但是系统管理员可将默认区域更改为其他区域。在这个过程中,一旦找到匹配的区域,系统就i直接应用其定义的规则,不再继续查找其他区域。
由此可见,要在区域中配置规则,除了涉及服务,端口,伪装等特性外,还要涉及绑定源地址和网络接口。
规则的应用顺序
区域内规则的基本排序如下:设置任何端口转发和伪装规则,设置任何记录规则,设置任何允许规则,设置任何拒绝规则。
预定义域
firewalld将所有的网络流量分为多个区域,从而简化了防火墙管理,更具数据包源地址或传入接口等条件,流量将传入相应区域的防火墙规则。