一、概述

1. 防火墙的作用
   在 Linux 系统中，防火墙用于控制进出系统的网络流量，基于预定义的安全规则允许或拒绝数据包，从而保护系统免受未经授权的访问、恶意攻击，并确保网络服务的安全运行。

二、常见的 Linux 防火墙软件

1. iptables

   • 基本介绍：是 Linux 内核中集成的一款经典的防火墙软件，基于 Netfilter 框架工作。它通过定义规则链（ Chains）和规则（Rules）来实现对网络流量的过滤。
   • 规则链类型：包括 INPUT（处理进入本机的数据包）、OUTPUT（处理本机发出的数据包）、FORWARD（处理经过本机转发的数据包，常用于路由器等有转发功能的设备）等。例如，若要阻止某个 IP 地址访问本机的 SSH 服务，可以在 INPUT 链添加规则。
   • 规则操作：可以对符合条件的数据包执行 ACCEPT（允许通过）、DROP（直接丢弃，不回应）、REJECT（拒绝，向源端发送错误信息）等操作。
   • 表（Tables）的概念：iptables 有不同的表，如 filter 表（用于过滤数据包，是最常用的表，主要涉及 INPUT、OUTPUT、FORWARD 链）、nat 表（用于网络地址转换，如端口转发、源地址伪装等）、mangle 表（用于修改数据包的某些标志位等）。

2. firewalld

   • 基本介绍：是 CentOS 等 Linux 发行版中新一代的防火墙管理工具，它提供了动态管理防火墙规则的功能，支持区域（Zones）的概念。
   • 区域概念：不同的区域有不同的默认安全级别和策略。例如，public 区域通常用于公共网络环境，默认拒绝大多数传入连接；trusted 区域则允许所有的网络连接。可以根据网络接口所处的环境将其分配到不同的区域。
   • 动态管理：相比 iptables，firewalld 可以在不重启防火墙服务的情况下动态地修改规则和区域设置，更适合于需要频繁更改防火墙策略的场景，如在服务器运行过程中临时开放某个端口用于调试。 

 iptables和firewalld对比：

• firewalld可以动态修改单条规则，不需要像iptables那样，修改规则后必须全部刷新才可生效

• firewalld默认动作是拒绝，则每个服务都需要去设置才能放行，而iptables里默认是每个服务是允许，需要拒绝的才去限制

• iptables防火墙类型为静态防火墙firewalld 防火墙类型为动态防火墙

• firewalld和iptables一样自身并不具备防火墙功能，它们的作用都是用于维护规则，而真正使用规则干活的是内核防火墙模块

• firewalld 加入了区域（zone）概念

三、iptables 知识点

1. 规则的基本组成部分

   • 匹配条件：包括源 IP 地址、目的 IP 地址、端口号、协议类型（如 TCP、UDP、ICMP）等。例如，可以设置规则只允许来自特定网段（如 192.168.1.0/24）的 TCP 协议数据包通过某个端口。
   • 目标动作：如上述提到的 ACCEPT、DROP、REJECT 等。

2. 命令语法示例

   • 查看规则：iptables -L（列出当前的 iptables 规则，默认查看 filter 表的规则），可以添加-n参数以数字形式显示 IP 地址和端口号，添加-v参数查看更详细的规则信息，如数据包和字节计数器。
   • 添加规则：iptables -A INPUT -s 192.168.1.100 -j DROP，此规则在 INPUT 链中添加一条拒绝来自 192.168.1.100 地址数据包的规则。
   • 删除规则：iptables -D INPUT 1（删除 INPUT 链中的第一条规则，需要谨慎使用，因为删除错误可能导致意外的安全漏洞）。
   • 修改规则：iptables -R INPUT 1 -s 192.168.1.200 -j ACCEPT（将 INPUT 链中的第一条规则修改为接受来自 192.168.1.200 的数据包）。

3. 保存和恢复规则
   在基于 iptables 的系统中，由于 iptables 规则在内存中，重启系统后会丢失。可以使用iptables - save > /etc/sysconfig/iptables将当前规则保存到文件中，在系统启动时，可以通过iptables - restore < /etc/sysconfig/iptables来恢复规则。

四、firewalld 知识点

1. 区域操作

   • 查看区域信息：firewall - cmd -- get - zones（列出所有可用的区域），firewall - cmd -- get - active - zones（查看当前正在使用的区域及其关联的网络接口）。
   • 设置区域：firewall - cmd -- set - zone = home -- add - interface = eth0（将 eth0 接口设置到 home 区域）。

2. 端口和服务管理

   • 开放端口：firewall - cmd -- zone = public -- add - port = 8080/tcp -- permanent（在 public 区域永久开放 TCP 端口 8080，-- permanent参数表示规则在防火墙重启后仍然有效，若不添加此参数，规则仅在当前会话有效）。
   • 开放服务：firewall - cmd -- zone = public -- add - service = http -- permanent（在 public 区域永久添加 HTTP 服务，firewalld 预定义了许多常见的服务，通过服务名来管理比直接管理端口更方便和安全，因为服务名对应的端口可能会因软件版本等因素变化）。

3. 重新加载和重启 firewalld

   • 重新加载规则：firewall - cmd -- reload（重新加载防火墙规则，使新添加或修改的规则生效，不会中断已建立的连接）。
   • 重启服务：systemctl restart firewalld（完全重启 firewalld 服务，会中断所有连接）。

 

五、防火墙策略规划与安全考虑

1. 最小化原则
   只开放系统运行所需的网络服务和端口，关闭不必要的端口和服务，减少系统的攻击面。例如，对于一个只运行 Web 服务的服务器，只需要开放 80（HTTP）或 443（HTTPS）端口以及相关的管理端口（如果有）。
2. 分层防御
   防火墙只是安全防护的一部分，应与其他安全措施（如 SELinux、入侵检测系统等）结合使用，构建多层次的安全防护体系。例如，即使防火墙允许了某个连接，SELinux 仍可以根据其安全策略限制该连接对系统资源的访问。
3. 定期审查和更新
   随着系统服务的变化和网络威胁的演变，需要定期审查和更新防火墙策略。例如，当安装了新的网络服务或发现新的安全漏洞时，及时调整防火墙规则。