Linux 7防火墻的特點(diǎn)

在Linux 7防火墻中提供了Firewalld管理工具。因?yàn)槠胀ㄓ脩魺o法直接操作內(nèi)核空間的Netfilter組件，所以需要使用以上工具來進(jìn)行管理。Firewalld是Linux 7默認(rèn)的管理工具，為了防止和Iptables產(chǎn)生沖突，可以編寫一個(gè)簡單的腳本，包含“#!/bin/bash”、“for SERVICE in iptables ip6tables ebtables”、“s y s t e m c t l m a s k${SERVICE}.service”以 及“done”等行，執(zhí)行“chmod 755 xxx.sh”、“./xxx.sh”命令，名稱可以假設(shè)為“xxx.sh”，就可以禁用之前的管理工具了。Linux 7支持trusted、home、internal、work、public等區(qū)域。

使用富規(guī)則，實(shí)現(xiàn)靈活管控

FireWalld提 供 了“Direct rules”（直接規(guī)則）和“Rich Rules”（富 規(guī) 則）兩個(gè)選項(xiàng)。前者主要用于使服務(wù)和應(yīng)用程序能夠增加規(guī)則，但靈活性較差，難以管理。富規(guī)則提供了更為復(fù)雜和精細(xì)的配置，其語法相對來說比較復(fù)雜，能夠?qū)?shù)據(jù)包的源地址、目標(biāo)地址進(jìn)行過濾，針對服務(wù)、端口、協(xié)議、ICMP攔截、偽裝、端口轉(zhuǎn)發(fā)等動(dòng)作進(jìn)行控制，對流量可以進(jìn)行更加精細(xì)的管控。并且可以將流量信息記錄到日志和審計(jì)中，根據(jù)具體情況可以執(zhí)行接受、拒絕和丟棄等操作。

例如執(zhí)行“firewallc m d --p e r m a n e n t--zone=classroom -add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'”命令，對自定義區(qū)域“classroom”增加一條富規(guī)則，作用是針對IPv4流量進(jìn)行控制，拒絕源地址為192.168.0.11的連接。執(zhí)行“firewall-cmd --reload”、“firewall-cmd --list-richrules -zone=xxx”命令，列出“xxx”區(qū)域中的所有的富規(guī)則。執(zhí)行firewall-cmd--remove-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'”命令，可以移除指定的富規(guī)則。

執(zhí) 行“firewall-cmd--add-rich-rule='rule service name=ftp limit value=2/m accept'” 命令，對于當(dāng)前區(qū)域增加一條富規(guī)則，作用是針對FTP連接進(jìn)行控制，只允許在每分鐘內(nèi)接受兩個(gè)新連接。 執(zhí) 行“firewall-cmd--permanent --zone=xxx-add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 p o r t=7 9 0 0-8 0 0 0 protocol=tcp accept'”命令，對區(qū)域“xxx”增加一條富規(guī)則，作用是針對IPv4流量進(jìn)行控制，允許源地址為192.168.1.0/24，端 口 來 自7900到8000的TCP連接通過防火墻。

為便于監(jiān)控流量信息，還可將其記錄到日志中。例 如 執(zhí) 行“firewall-cmd--permanent --zone=xxx-add-rich-rule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept'”命令，表示針對區(qū)域“xxx”添加一條富規(guī)則，將服務(wù)名為“ssh”的流量放行，并記錄到日志中。日志的級(jí)別包括emerg（恐慌）、alert（報(bào)警）、crit（緊急）、error（錯(cuò)誤）等。執(zhí)行“grep ssh /var/log/message”命令即可檢索到這些日志信息。

執(zhí) 行“firewall-cmd--add-rich-rule='rule family=ipv6 source address="2001:db8::/64"service name="dns" audit limt value="1/h" reject'-timeout=300” 命 令，可以為當(dāng)前區(qū)域添加一條富規(guī)則，作用是針對IPv6流量進(jìn)行控制，拒絕源地址為“2001:db8::/64”，服 務(wù)名為“dns”的流量，并對其進(jìn)行審計(jì)，速率為每小時(shí)處理一條消息，該規(guī)則超時(shí)時(shí)間為300毫秒。當(dāng)安裝了HTTPD之后，執(zhí)行“systemctl start https”命令，啟動(dòng)Web服務(wù)。執(zhí)行“firewall-cmd--permanent --zone=public--add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=http log p r e f i x="N E W H T T P"level="notice" limit value="3/s" accept'”命令添加一條富規(guī)則，對源地址為172.16.1.0/24，服務(wù)名為“http”的連接進(jìn)行記錄，前日志前綴為“NEW HTTP”，速率為每秒3條，對這樣的放行。執(zhí)行“firewall-cmd --reload”命令加載，執(zhí)行“tail -f /var/log/messages”命令，監(jiān)視日志變化情況。

地址偽裝和端口轉(zhuǎn)發(fā)

Linux 7防火墻機(jī)制中提供了地址偽裝和端口轉(zhuǎn)發(fā)功能。在防火墻主機(jī)上至少需要安裝兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)。執(zhí)行“firewall-cmd -listall”命令，在默認(rèn)情況下當(dāng)前區(qū)域的規(guī)則列表中的“masquerade:”欄 中 顯示“no”，說明偽裝并未打開。 執(zhí) 行“firewall-cmd--permanent --zone=public-add-masquerade”命令，為Public區(qū)域添加偽裝。

執(zhí) 行“firewall-cmd--reload”和“firewall-cmd-list-all”命令，顯示偽裝功能已打開。因?yàn)樵谏厦娴睦又?，已?jīng)為Public區(qū)域設(shè)置了相應(yīng)富規(guī)則，允許172.16.1.0/24網(wǎng)段主機(jī)通過防火墻訪問外網(wǎng)，而且將連接內(nèi)外網(wǎng)的接口添加到了Public區(qū)域的“interrface”接口列表中，這樣偽裝效果就發(fā)揮了出來，內(nèi)網(wǎng)中該網(wǎng)段內(nèi)的主機(jī)就可以通過防火墻訪問外網(wǎng)Web主機(jī)了。對端口轉(zhuǎn)發(fā)來說，即可從本機(jī)的端口轉(zhuǎn)發(fā)到另一個(gè)端口，也可轉(zhuǎn)發(fā)到另一個(gè)系統(tǒng)，這只是在偽裝接口下有用。注意，端口轉(zhuǎn)發(fā)只是用于Ipv4。

創(chuàng)建自定義區(qū)域和服務(wù)

處理使用系統(tǒng)自帶的區(qū)域和服務(wù)外，Linux 7的防火墻也允許用戶自定義所需的區(qū)域和服務(wù)。防火墻配置文件分別存儲(chǔ)在“/usr/lib/firewalld” 和“/etc/firewalld”目錄中。前者是系統(tǒng)默認(rèn)，后者是當(dāng)前使用的。如果要自定義區(qū)域和服務(wù)，需要以前者為模版。防火墻區(qū)域的定義信息存儲(chǔ)在“.xml”格式文件中，進(jìn)入“/etc/firewalld/zones”目錄中，執(zhí)行“cat public.xml”命令，顯示Public區(qū)域的配置信息，其中包含該區(qū)域的所有規(guī)則信息。可以直接添加規(guī)則，實(shí)現(xiàn)靈活編輯。

進(jìn) 入“/u s r/l i b/firewalld/zones”目錄，其中顯示了各種默認(rèn)的區(qū)域配置信息。執(zhí)行“cat public.xml”命令，查看默認(rèn)的區(qū)域配置信息，但并未包含任何規(guī)則。了解了這些內(nèi)容，實(shí)現(xiàn)自定義區(qū)域操作就很簡單了。例如執(zhí)行“firewall-cmd--new-zone --permanent--new-zone=workzone”，“firewall-cmd --reload”命令，可以自定義一個(gè)名為“workzone”的區(qū)域。進(jìn)入“/etc/firewalld/zones”目錄中，可以看到該區(qū)域配置文件。當(dāng)然，該文件默認(rèn)配置信息為空。

執(zhí) 行“f i r e w a l lc m d --l i s t-a l l--zone=workzone”命令，顯示不包含任何規(guī)則信息。之后可以按照上面的方法為其添加所需規(guī)則。例如執(zhí)行“firewall-cmd --changeinterface=enoxxxxxx -zone=workzone”命令，將指定的網(wǎng)絡(luò)接口添加到該自定義區(qū)域。執(zhí)行“firewall-cmd-zone=workzone --addservice=ssh --permanent”，“firewall-cmd --reload”命令添加SSH服務(wù)，即允許連接SSH服務(wù)。這樣，在客戶端連接與之相關(guān)的IP時(shí)，即可訪問該機(jī)的SSH服務(wù)了。

當(dāng)然，也可以進(jìn)入“/etc/firewalld/zones” 目錄中，執(zhí)行“vi workzone.xml”命令進(jìn)行編輯，添加“”行，就 開 放 了FTP服務(wù)。創(chuàng)建自定義服務(wù)的方法與上述大體相同，配置文件分別存儲(chǔ)在“/usr/lib/firewalld/services”和“/etc/firewalld/services”目錄中。執(zhí)行“firewall-cmd--new-service=newservice--permanent”、“firewallcmd --reload”命令，可以自定義一個(gè)名為“newservice”的服務(wù)。該服務(wù)默認(rèn)為空，進(jìn) 入“/etc/firewalld/services”目錄，會(huì)顯示名為“newservice.xml”的文件，其內(nèi)容為空?？蓞㈤喯到y(tǒng)默認(rèn)提供的服務(wù)配置文件進(jìn)行適當(dāng)?shù)男薷?，添加開放的端口和模塊，來滿足實(shí)際的需要。執(zhí)行“firewall-cmd--add-service=newservice-z o n e=w o r k z o n e--permanent”命令，可以將該服務(wù)添加到“workzone”區(qū)域中。