防火墙基础——理论篇

Elinkcloud

Centos 7防火墙基础——理论篇理论结构：Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld防火墙的配置方法Firewalld概述支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具
支持IPV4、IPV6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种不同的配置模式
运行时配置
永久配置
Firewalld和iptables的关系netfilter
​   位于Linux内核的过滤的工具；
​   被称为Linux防火墙的“内核态”
Firewalld/iptables
​   Centos 7中默认管理防火墙规则的工具；
​   被称为Linux防火墙的“用户态”
Firewalld和iptables的区别FirwalldIptables配置文件/usr/lib/firewalld/、/etc/firewalld//etc/sysconfig/iptables对规则的修改不要全部刷新策略、不丢失现行连接策略全部刷新、丢失连接类型动态防火墙静态防火墙Firewalld网络区域全部相关区域介绍：
区域描述drop（丢弃）任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接block（限制）任何接收的网络连接都被IPv4的icmp-hot-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝public（公共）——默认在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接external（外部）特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信他们不会对您的计算机造成危害，只能接收经过选择的连接dmz（非军事区）用于您的非军事区内的电脑，此区域内可公开访问，可以有限的进入您的内部网络，仅仅接收经过选择的连接work（工作）用于工作区域。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接home（家庭）用于家庭网络。您可以基本相信网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接internal（内部）用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接trusted（信任）可接受所有的网络连接NAT  一对一进行私网地址转公网地址
PAT  多对一进行私网地址转公网地址（以端口进行区分）
​   好处：有效节约IP地址资源
Firewalld防火墙配置方法检查数据来源地址：
1.若源地址关联到特定的区域，则执行该区域所制定的规则
2.若源地址未关联到特定区域，则使用传入网络接口的区域并执行该区域所制定的规则
3.若网络接口未关联到特定的区域，则使用默认区域所指定的规则**
运行时配置：
1.实时生效，并持续至Firewalld重新启动或重新加载配置
2.不中断现有链接
3.不能修改服务配置
永久配置：
1.不立即生效，除非Firewalld重新启动或重新加载配置
2.终端现有连接
3.可以修改服务配置
Firewalld中的配置文件
​   Firewalld会优先使用/etc/firewalld/中的配置，如果该目录不存在配置文件则通过/usr/lib/firewalld/目录进行拷贝。
​   /etc/firewalld/ ： 用户自定义配置文件。
​   /usr/lib/firewalld/ ： 默认配置文件，最好不要进行修改。若想恢复至默认配置，可直接删除/etc/firewalld/中的配置。

包括云专线、对等连接、云联网、SD-WAN 等云网产品，这些都是基于底层云专网的资源池互联能力，为云网融合的各种连接场景提供互联互通服务。