没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
中防火墙是一个非常的强大的功能了,但对于 中在防火墙中
进行了升级了,下面我们一起来详细的看看关于 中防火墙使用方法。
提供了支持网络防火墙区域定义网络链接以及接口安全等级的
动态防火墙管理工具。它支持 防火墙设置以及以太网桥接,并且拥有
运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则
的接口。 以前的 防火墙模型是静态的,每次修
改都要求防火墙完全重启。这个过程包括内核 防火墙模块的卸载和新配
置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反, 动态管理防火墙,不需要重启整个防火墙便可应用更改。
因而也就没有必要重载所有内核防火墙模块了。不过,要使用
就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和
内核里的防火墙是一致的。另外, 无法解析由 !"#和
##命令行工具添加的防火墙规则。
守护进程通过 $%&提供当前激活的防火墙设置信息,也通过 $%&接受使用
'认证方式做的更改。
“守护进程”
应用程序、守护进程和用户可以通过 $%&请求启用一个防火墙特性。特性可以是预定
义的防火墙功能,如:服务、端口和协议的组合、端口数据报转发、伪装、()拦截或
自定义规则等。该功能可以启用确定的一段时间也可以再次停用。
通过所谓的直接接口,其他的服务例如 #能够通过 !#变元
*和参数!增加自己的规则。
、+!、#和 +!服务的 防火墙助手也被“守护进程”解
决了只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一
部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪
连接信息很重要,需要列入考虑范围。
静态防火墙(system-cong-rewall/lokkit)
使用 和 的静态防火墙模型实际上仍然可用并将继续提供,
但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选
择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。
独立于 ,但二者不能同时使用。
使用 iptables 和 ip6tables 的静态防火墙规则
如果你想使用自己的 !#和 !#静态防火墙规则那么请安装 !#
并且禁用 ,启用 !#和 !#,
yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
静态防火墙规则配置文件是 !#以及
!#-
注: !#与 !#软件包不提供与服务配套使用的防火墙规则-
这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的-你可以安装
并使用 来创建上述服务需要的规则-为了能使用
你必须停止 -
为服务创建规则并停用 后,就可以启用 !#与 !#服务了,
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service
什么是区域?
网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅
仅是一个区域的一部分,而一个区域可以用于很多连接。
预定义的服务
服务是端口和或协议入口的组合。备选内容包括 助手模块以及 、 地
址。
端口和协议
定义了 !或 * !端口,端口可以是一个端口或者端口范围。
ICMP 阻塞
可以选择 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或
错误条件创建的响应。
伪装
私有网络地址可以被映射到公开的 地址。这是一次正规的地址转换。
端口转发
端口可以映射到另一个端口以及或者其他主机。
哪个区域可用?
由 提供的区域按照从不信任到信任的顺序排序。
丢弃
任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞
任何进入的网络连接都被拒绝,并返回 的 !.!.# 报文或者
的 ! !.# 报文。只允许由该系统初始化的网络连接。
公开
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允
许选中的连接接入。(/* *..!*
.*!*-01 ! -)
外部
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的
计算机。只允许选中的连接接入。
隔离区(dmz)
用以允许隔离区( )中的电脑有限地被外界网络访问。只接受被选中的连接。
工作
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
家庭
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
内部
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
受信任的
允许所有网络连接。
我应该选用哪个区域?
例如,公共的 2连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。
根据与你使用的网络最符合的区域进行选择。
如何配置或者增加区域?
你可以使用任何一种 配置工具来配置或者增加区域,以及修改配置。工具有例
如 这样的图形界面工具, 这样的命令行工具,以及
$%& 接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。
34563# 被用于默认和备用配置, 被用
于用户创建和自定义配置文件。
如何为网络连接设置或者修改区域
区域设置以 70859选项 存储在网络连接的 ++ 文件中。如果这个选项缺失或者为空,
将使用配置的默认区域。
如果这个连接受到 8)控制,你也可以使用
来修改区域。
由 NetworkManager 控制的网络连接
防火墙不能够通过 8)显示的名称来配置网络连接,只能配置网络接口。
因此在网络连接之前 8)将配置文件所述连接对应的网络接口告诉
。如果在配置文件中没有配置区域,接口将配置到 的默认区域。如
果网络连接使用了不止一个接口,所有的接口都会应用到 。接口名称的改变也
将由 8)控制并应用到 。
为了简化,自此,网络连接将被用作与区域的关系。
如果一个接口断开了,8) 也将告诉 从区域中删除该接
口。
当 由 或者 脚本启动或者重启后, 将通知
8) 把网络连接增加到区域。
由脚本控制的网络
对于由网络脚本控制的连接有一条限制:没有守护进程通知 将连接增加到区域。
这项工作仅在 ++!脚本进行。因此,此后对网络连接的重命名将不能被应用到
。同样,在连接活动时重启 将导致与其失去关联。现在有意修复此
情况。最简单的是将全部未配置连接加入默认区域。
区域定义了本区域中防火墙的特性:
使用 rewalld
你可以通过图形界面工具 或者命令行客户端 启用或者关
闭防火墙特性。
使用 rewall-cmd
命令行工具 支持全部防火墙特性。对于状态和查询模式,命令只返回状态,
没有其他输出。
一般应用
获取 状态
firewall-cmd --state
此举返回 的状态,没有任何输出。可以使用以下方式获得状态输出:
firewall-cmd --state && echo "Running" || echo "Not running"
在 :;中状态输出比此前直观,
# rpm -qf $( which firewall-cmd )
firewalld-0.3.3-2.fc19.noarch# firewall-cmd --state
剩余12页未读,继续阅读
资源评论
正在输入中…………
- 粉丝: 4445
- 资源: 48
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- Python ORM系列之pymysql实现对数据库增删改查源码
- 修改拼多多视频里的总花费成交花费交易额实际投产比每笔成交花费每笔成交额全站推广费比.mp4
- 毕设&大作业-基于STM32的2.4G无线遥控小车项目源码+文档说明-使用nRF24L01进行通信
- 官方centos-7.8.x86-64-RPM-GPG-KEY-CentOS-7
- 官方centos-7.8.x86-64-PM-GPG-KEY-CentOS-Testing-7
- 官方centos-7.8.x86-64-GPL
- 官方centos-7.8.x86-64-EULA
- 基于STM32的2.4G无线遥控小车项目源码+文档说明-使用nRF24L01进行通信
- r2024.10.17.r
- H97-D3H F7.BIOS
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功