防火墙firewalld--简介

一.简介

firewalld是centos7系统默认的防火墙，和iptables一样，是使用系统中netfilter内核模块的管理工具。

和iptables不一样的点 firewalld 使用区域和服务而不是链式规则。 它动态管理规则集，允许更新规则而不破坏现有会话和连接。

优点： 支持动态的配置规则 有多个预设的区域，可以在不同环境下，简单方便的变更规则

对于一个接受到的请求具体使用哪个zone，firewalld是通过三种方法来判断的： 1、source，也就是源地址 优先级最高 2、interface，接收请求的网卡 优先级第二 3、firewalld.conf中配置的默认zone 优先级最低

firewalld有的区域(zone) block（拒绝） dmz（非军事化） drop（丢弃） external（外部） home（家庭） internal（内部） public（公开） trusted（信任） work（工作区）

文件： /etc/firewalld/zones #用户自己定义的 /usr/lib/firewalld #系统配置文件，预定义配置文件

状态

1. Target：目标
2. icmp-block-inversion：ICMP协议类型黑白名单开关（yes/no）
3. Interfaces：关联的网卡接口
4. sources：来源，可以是IP地址，也可以是mac地址
5. services：允许的服务
6. ports：允许的目标端口，即本地开放的端口
7. protocols：允许通过的协议
8. masquerade：是否允许伪装（yes/no），可改写来源IP地址及mac地址
9. forward-ports：允许转发的端口
10. source-ports：允许的来源端口
11. icmp-blocks：可添加ICMP类型，当icmp-block-inversion为no时，这些ICMP类型被拒绝；当icmp-block-inversion为yes时，这些ICMP类型被允许。
12. rich rules：富规则，即更细致、更详细的防火墙规则策略，它的优先级在所有的防火墙策略中也是最高的。