@[toc]

### 防火墙分类：
硬件防火墙
软件防火墙
比如360，金山毒霸，这些就是一种软件防火墙

### 防火墙的作用

防火墙主要是做隔离，严格过滤入站，允许出站

软件防火墙：做本机的防护            

### firewalld 实战
#### firewalld 介绍
在centos7中默认的防火墙系统，是一个集合多款防火墙管理工具并存的系统， 同时拥有命令行终端和他图形化界面的配置工具。

相较于iptables防火墙而言，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换

默认安装，默认随机自动启动

系统服务： firewalld
管理工具： firewalld-cmd ，firewall-config(图形工具）
     
重启防火墙：
  

```bash
[root@itlaoxin162 ~]# systemctl restart firewalld
```
#### firewalld 四个常用区域
根据所在的网络场所区分，预设保护规则集，有四个部分用的比较多：
- public: 仅允许访问本机的SSH，dhcp, ping 服务
- trusted: 允许任何访问
- block: 阻塞任何来访请求（明确拒绝，给客户端一个回应）
- drop： 丢弃任何来访的数据包（直接丢弃，不给客户端回应，节省资源）
 
 
 #### 防火墙的匹配原则：
 
 一个数据包包含三个部分： 源IP地址，目标IP地址，数据
 1. 查看数据包中源IP地址，然后查询所有区域中的规则，哪一个区域中有该源IP地址的规则，则进入哪一个区域
 2.  若第一条不符合，进入默认区域（public）

当然默认区域 可以修改。

怎么查看默认区域呢？

#### 案例一： 查看默认zone

```bash
[root@itlaoxin162 ~]# firewall-cmd  --get-default-zone 
public
```

### 常用命令参数

|参数|作用|
|--|--|
--get-default-zone    |查访默认的区域名称
--set-default-zone=<区域名称>    |设置默认的区域，使其永久生效
--get-zones|    显示可用的区域
--get-services    |显示预定义的服务
--get-active-zones    |显示当前正在使用的区域、来源地址和网卡名称
--add-source=    |将源自此IP或子网的流量导向指定的区域
--remove-source=    |不再将源自此IP或子网的流量导向这个区域
--list-all    |显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones    |显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>    |设置默认区域允许该服务的流量
--add-port=<端口号/协议>    |设置默认区域允许该端口的流量
--remove-service=<服务名>    |设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>|    设置默认区域不再允许该端口的流量
--reload|    让“永久生效”的配置规则立即生效，并覆盖当前的配置规则

#### 案例二： 修改默认zone
修改默认区域：

```bash
[root@itlaoxin162 ~]# firewall-cmd --set-default-zone=block
success
[root@itlaoxin162 ~]# firewall-cmd --get-default-zone 
block
可以看到默认区域改成了block

```
#### 案例三： 在public区域添加协议

```bash
[root@itlaoxin162 ~]# firewall-cmd --zone=public --add-service=ftp
success
[root@itlaoxin162 ~]# firewall-cmd --zone=public --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ftp ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

```

注意： 一旦重启，public里我们添加的协议就没有了，恢复到原来的样子

所以firewall给我们提供了永久性的规则

使用 permanent 来永久添加规则
方法就是在firewall-cmd命令后面添加--permanent参数，这样配置的防火墙策略就可以永久生效了

#### 案例四： 把http协议永久加入到public 区域
```bash
[root@itlaoxin162 ~]# firewall-cmd --permanent --zone=public --add-service=http
success

```

查看一下：

  原因是这种永久添加是添加了配置文件里需要重新服务器生效。 
如果不想重启服务器，则需要使用 --reload命令

```bash
[root@itlaoxin162 ~]# firewall-cmd --reload
success
[root@itlaoxin162 ~]# firewall-cmd --zone=public  --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client http ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
```

 
#### 案例五： 拒绝某一个IP 访问

```bash
[root@itlaoxin-163 ~]# ping 192.168.1.162

64 bytes from 192.168.1.163: icmp_seq=1 ttl=64 time=0.097 ms
```

我们将192.168.1.163的源IP地址，写入block区域

```bash
[root@itlaoxin162 ~]# firewall-cmd 
[root@itlaoxin162 ~]# firewall-cmd --zone=block --add-source=192.168.1.162
success
[root@itlaoxin162 ~]# firewall-cmd --zone=block --list-all
block (active)
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: ens32
  sources: 192.168.1.162
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

```

再来ping一下看一下效果

```bash
[root@itlaoxin-163 ~]# ping 192.168.1.162
PING 192.168.1.162 (192.168.1.162) 56(84) bytes of data.
From 192.168.1.162 icmp_seq=1 Destination Host Prohibited
```
     这里会提示错误

一般常用的两种思路：
- 宽松： 默认区域为trsuted ，单独拒绝的源IP地址写入block
- 严格： 默认区域为block,单独允许的源IP地址写入trsuted