Firewalld有哪些新的玩法, 相較於傳統的防


 RHEL 7系統中集成了多款防火墻管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系統的動態防火墻管理器)服務是默認的防火墻配置管理工具,它擁有基於CLI(命令行界面)和基於GUI(圖形用戶界面)的兩種管理方式。

  相較於傳統的防火墻管理配置工具,firewalld支持動態更新技術並加入了區域(zone)的概念。簡單來說,區域就是firewalld預先準備了幾套防火墻策略集合(策略模板),用戶可以根據生產場景的不同而選擇合適的策略集合,從而實現防火墻策略之間的快速切換。例如,我們有一臺筆記本電腦,每天都要在辦公室、咖啡廳和家裏使用。按常理來講,這三者的安全性按照由高到低的順序來排列,應該是家庭、公司辦公室、咖啡廳。當前,我們希望為這臺筆記本電腦指定如下防火墻策略規則:在家中允許訪問所有服務;在辦公室內僅允許訪問文件共享服務;在咖啡廳僅允許上網瀏覽。在以往,我們需要頻繁地手動設置防火墻策略規則,而現在只需要預設好區域集合,然後只需輕點鼠標就可以自動切換了,從而極大地提升了防火墻策略的應用效率。firewalld中常見的區域名稱(默認為public)以及相應的策略規則如表所示。

trusted    允許所有的數據包
home    拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、mdns、ipp-client、amba-client與dhcpv6-client服務相關,則允許流量
internal    等同於home區域
work    拒絕流入的流量,除非與流出的流量數相關;而如果流量與ssh、ipp-client與dhcpv6-client服務相關,則允許流量
public    拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、dhcpv6-client服務相關,則允許流量
external    拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量
dmz    拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量
block    拒絕流入的流量,除非與流出的流量相關
drop    拒絕流入的流量,除非與流出的流量相關

相关内容