[[326151]]

FirewallD 是由紅帽發(fā)起的提供了支持網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義網(wǎng)絡(luò)鏈接以及接口安全等級的動態(tài)防火墻管理工具。它支持 IPv4、IPv6 防火墻設(shè)置以及以太網(wǎng)橋接，并且擁有運行時配置和永久配置選項。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。

由于 FirewallD 項目本身的自由軟件特性，像 Debian Linux 社區(qū)發(fā)行版已經(jīng)默認在軟件倉庫中收錄了該防火墻組件軟件包。隨著各個新 GNU/Linux 發(fā)行版中防火墻引擎逐步從 iptables 向 nftables 遷移，F(xiàn)irewallD 是目前唯一能夠支持該兩種防火墻后端引擎的前端服務(wù)組件，用戶掌握以后可以方便的進行防火墻配置并很好的規(guī)避了從 iptables 向 nftables 遷移帶來的學習恐慌。

筆者通過查閱 RedHat 8 發(fā)行版網(wǎng)絡(luò)配置手冊，并結(jié)合自己在 Debian Linux 10 社區(qū)版上進行 FirewallD 防火墻的實際配置使用，對該服務(wù)組件的功能和日常使用進行整理。希望通過該文能幫助其他 Linux 用戶掌握該防火墻，并通過該防火墻提高主機測網(wǎng)絡(luò)安全防御能力，打造可信的網(wǎng)絡(luò)安全環(huán)境。

一、安裝

在 Debian Linux 10 社區(qū)版中使用如下命令：

apt-get install firewall-applet firewall-config firewalld

就可以直接進行 FirewallD 防火墻軟件組件包的安裝，其中：

• firewall-applet 為 FirewallD 托盤小程序，
• firewall-config 為 FirewallD 圖形化系統(tǒng)配置管理工具
• firewalld 為 FirewallD 防火墻軟件組件的主組件包，其中包含 firewall-cmd、firewall-offline-cmd 等命令行系統(tǒng)配置管理工具。

在 RedHat 8 下該防火墻組件默認已經(jīng)進行了安裝，如果用戶進行特殊定制安裝之后需要單獨安裝該軟件組件可以使用命令

yum install firewall-config

直接進行安裝即可。

筆者在兩個系統(tǒng)裝進行過安裝對比，發(fā)現(xiàn)該軟件組件包在兩個系統(tǒng)上除了安裝命令稍有差異外，其它從配置文件到 systemd 服務(wù)配置并沒有任何區(qū)別。隨后的內(nèi)容將不再強調(diào)操作系統(tǒng)。

二、防火墻默認區(qū)域

• Block（阻塞）
  任何對該區(qū)域的連接請求都會被以 IPv4 的 icmp-host-prohibited 信息或 IPv6 的 icmp6-adm-prohibited 信息所拒絕。只能從系統(tǒng)內(nèi)部啟動網(wǎng)絡(luò)連接。
• Dmz（隔離）
  用于你的隔離區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開訪問，可以有限地進入你的內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過選擇的連接。
• Drop（丟棄）
  對進入該區(qū)域的所有數(shù)據(jù)包丟棄，并且不進行任何回包，區(qū)域內(nèi)主動發(fā)起連接的流入回程數(shù)據(jù)包允許通過，允許進行出方向的網(wǎng)絡(luò)連接。
• External（外部）
  用于在啟用偽裝的外部網(wǎng)絡(luò)上使用，尤其路由器、防火墻認為在這個網(wǎng)絡(luò)上的其它主機不可信。僅僅接收經(jīng)過選擇的連接。
• Home（家庭）
  默認其他同區(qū)域內(nèi)主機可信，僅僅接收經(jīng)過選擇的連接。同時默認放行 ssh、mdns、ipp-client、amba-client 與 dhcpv6-client 服務(wù)產(chǎn)生的連接。
• Internal（內(nèi)部）
  從描述中可以等同于家庭區(qū)域。
• Public（公開）
  公共區(qū)域，也是防火墻配置的默認區(qū)域，防火墻認為該區(qū)域主機不可信。僅僅接收經(jīng)過選擇的連接。同時默認放行 ssh 與 dhcpv6-client 服務(wù)產(chǎn)生的連接。
• Trusted（可信）
  可信區(qū)域，防火墻放行一切流量。等同于關(guān)閉防火墻功能。
• Work（工作）
  工作區(qū)域，防火墻認為在這個網(wǎng)絡(luò)上的其它主機不可信。僅僅接收經(jīng)過選擇的連接。同時默認放行 ssh、ipp-client 與 dhcpv6-client 服務(wù)產(chǎn)生的連接。

這些區(qū)域的命名不言自明，用戶可以很快選擇一個合適的安全區(qū)域，從而簡化和避開很多安全問題。當然用戶也可以根據(jù)自己的需要或者安全評估來根據(jù)自己的實際需求對相應(yīng)安全域進行更個性化的配置，以適應(yīng)自己的安全管理規(guī)范。盡管有些安全域的安全規(guī)則是相同的，但之所以還要在名字上有所區(qū)別，主要是為了從習慣上讓用戶更好區(qū)分不同域的獨特使用場景，對用戶來說更好理解和便于區(qū)分。

三、防火墻日常管理

3.1、查看防火墻當前狀態(tài)

查詢狀態(tài)：

firewall-cmd –state

更多的防火墻系統(tǒng)服務(wù)狀態(tài)信息可以使用

systemctl status firewalld

在你配置新的防火墻規(guī)則之前，你需要了解如何通過命令查看當前防火墻配置。查看防火墻當前配置可以通過圖形界面或者在終端模式下使用命令進行。

在圖形界面下可以直接通過點擊應(yīng)用程序“firewall-config”圖標或者在終端窗口中輸入 firewall-config 命令進行防火墻配置。如果當前用戶為非 root 用戶，系統(tǒng)將彈出管理員認證窗口，用戶正確輸入管理員密碼后，防火墻配置窗口就會打開，用戶即可以按照窗口界面提供的功能進行操作。

用戶也可以在命令行下使用 firewall-cmd工具進行防火墻配置。命令行工具雖然學習起來需要一定的時間，不過該工具可以完全在系統(tǒng)處于終端模式下進行各種復(fù)雜的防火墻全功能配置，用戶有必要進行認真的學習和掌握。

3.2、防火墻基礎(chǔ)命令

FirewallD 使用了區(qū)域進行數(shù)據(jù)流的管理，當用戶使用 firewall-cmd -list-all 命令時，如果沒有使用 --zone 指定區(qū)域，那么系統(tǒng)將返回默認區(qū)域的當前配置狀態(tài)。

默認區(qū)域由配置文件 /etc/firewalld/firewalld.conf 中的字段 DefaultZone 定義，初始狀態(tài)下，默認區(qū)域被定義為 public（公共區(qū)域）。

用戶可以使用命令： 

firewall-cmd –get-zones

查看當前系統(tǒng)防火墻設(shè)置的的區(qū)域名列表，也可以使用命令：

firewall-cmd -get-default-zone

查看防火墻當前的默認區(qū)域；同時，可使用命令：

firewall-cmd –set-default-zone=[zonename]

或者通過直接編輯配置文件中 DefaultZone 字段的值進行默認區(qū)域的修改。

啟動防火墻：

systemctl unmask firewalld
systemctl start firewalld

讓防火墻隨系統(tǒng)啟動一起啟動：

systemctl enable firewalld

停止防火墻：

systemctl stop firewalld

停止隨系統(tǒng)啟動：

systemctl disable firewalld

停止通過訪問 firewalld D-Bus 接口和其他服務(wù)需要 firewalld 依賴導(dǎo)致的 firewalld 自動啟動，更加干凈的關(guān)閉 firewalld 服務(wù)：

systemctl mask firewalld

按照 RedHat 的官方文檔定義，防火墻運行之后被稱為運行時狀態(tài)，保存了啟動默認參數(shù)之后的配置被稱為永久狀態(tài)。在當前運行狀態(tài)對防火墻進行的所有配置修改，系統(tǒng)即時生效，但重啟后防火墻會恢復(fù)到它之前的永久狀態(tài)，其實這一過程就是從保存之后的配置文件中加載相應(yīng)配置參數(shù)的過程。

用戶可以使用命令：

fiewall-cmd --runtime-to-permanent

對當前修改過的規(guī)則即時保存為永久配置，也可以使用命令 firewall-cmd –permanent 并在其后添加其它參數(shù)永久進行修改。

重新啟動 firewalld 將關(guān)閉所有打開的端口并停止網(wǎng)絡(luò)通信，需要使用命令：

firewall-cmd –reload

重新加載永久配置使之生效。

FirewallD 提供了一種系統(tǒng)受到攻擊的緊急操作功能。假設(shè)攻擊者對系統(tǒng)進行攻擊，用戶可以直接使用命令：

firewall-cmd –panic-on

關(guān)閉網(wǎng)絡(luò)通信并且切斷攻擊者，而不用像之前那樣通過物理拔除網(wǎng)線來進行斷網(wǎng)操作，防止了系統(tǒng)在多網(wǎng)口環(huán)境中一次性插拔所有網(wǎng)線可能帶來的混亂以及由此引發(fā)的系統(tǒng)恢復(fù)后延續(xù)問題。

需要恢復(fù)網(wǎng)絡(luò)通信時用戶只要使用命令：

firewall-cmd --panic-off

關(guān)閉恐慌模式即可，用戶也可以使用命令：

firewall-cmd –query-panic

查詢防火墻當前恐慌模式的狀態(tài)。

3.2、防火墻服務(wù)管理命令

用戶可以通過命令行工具添加預(yù)定義的服務(wù)類型，防火墻會自動根據(jù)所需的端口并將其他設(shè)置修改為服務(wù)定義文件。

使用命令：

firewall-cmd --list-services

可以查看當前區(qū)域內(nèi)被允許的服務(wù)。使用命令：

firewall-cmd --get-services

可以列出所有防火墻已經(jīng)給定的預(yù)定義服務(wù)名稱。使用命令：

firewall-cmd --add-service=<service-name>

可以添加具體服務(wù)，服務(wù)名稱用戶可以根據(jù)自己的實際需求從預(yù)定義服務(wù)名稱中選取合適的服務(wù)名進行添加。完成之后用戶可以使用命令：

firewall-cmd –runtime-to-permanent

將對運行時的修改保存為永久。用戶可以通過命令 firewall-config、firewall-cmd 和 firewall-offline-cmd，或者通過直接將 /usr/lib/firewalld/services 目錄的默認模板 XML 文件復(fù)制到 /etc/firewalld/services 目錄中進行編輯來添加一個自定義服務(wù)類型。具體過程如下：

方法一：執(zhí)行 firewall-cmd –new-service=service-name，系統(tǒng)將直接在 /etc/firewalld/services 目錄下創(chuàng)建一個以 .xml 結(jié)尾的同名文件，自定義服務(wù)類型添加完成。

方法二：在相應(yīng)目錄使用編輯軟件直接編輯好 XML 文件并執(zhí)行 firewall-cmd --new-service-from-file=service-name.xml，系統(tǒng)將自動完成同名自定服務(wù)類型的添加。

端口作為特定系統(tǒng)服務(wù)的接收和區(qū)分網(wǎng)絡(luò)流量并將其轉(zhuǎn)發(fā)到系統(tǒng)服務(wù)的邏輯設(shè)備，系統(tǒng)守護進程通常偵聽特定的服務(wù)端口。防火墻在默認的服務(wù)類型配置中已經(jīng)定義了相應(yīng)服務(wù)需要放行的對應(yīng)的端口。當用戶還需要在某個服務(wù)中放行特定的自定義端口或者端口段的時候可以通過 firewall-cmd 完成，格式如下：

firewall-cmd [--zone=zone_name] [--service=service_name] –add-port=port-number/port-type

這里需要說明的是 --zone、--service 為可選參數(shù)，如果用戶不添加這兩個參數(shù)執(zhí)行命令時相當與在默認區(qū)域中直接添加了端口，當只選取了 --zone 參數(shù)時，命令執(zhí)行的結(jié)果是在指定區(qū)域直接添加端口，此時與服務(wù)狀態(tài)無關(guān)。只有在使用 --service 參數(shù)時才是在相應(yīng)的服務(wù)中添加端口。

當用戶需要刪除一個端口時可以使用如下命令：

# firewall-cmd [--zone=zone_name] [--service=service_name] remove-port=port-number/port-type

當用戶需要向不同區(qū)域添加服務(wù)時，用戶可以通過如下步逐進行：

# firewall-cmd --add-service=ssh –zone=drop

該命令將向區(qū)域 drop 中添加 ssh 服務(wù)，其實質(zhì)就是放行 ssh 服務(wù)定義中的默認 22 端口入站方向的流量及連接。

在多網(wǎng)絡(luò)接口主機中，可以使用如下方法將指定的網(wǎng)絡(luò)接口添加到需要的區(qū)域中，從而實現(xiàn)每個接口的安全連接區(qū)域要求，實現(xiàn)真正的區(qū)域化網(wǎng)絡(luò)安全管理。

使用命令：

firewall-cmd --get-active-zones

查看當前激活的安全區(qū)域和相應(yīng)的網(wǎng)絡(luò)接口配置。使用命令

firewall-cmd --zone=work –change-interface=ens3p0

則將網(wǎng)卡 ens3p0 加入到了 work 區(qū)域，之后所有通過該網(wǎng)卡的流量將受到區(qū)域安全規(guī)則的約束和限制，該配置是即時生效的并且會自動保存為永久配置。

用戶需要將某個網(wǎng)卡加入到特定安全區(qū)域也可以直接使用：

vi /etc/sysconfig/network-scripts/ifcfg-connection-name

并在該文件下加入 ZONE=zone-name 行，該網(wǎng)卡即屬于特定的安全區(qū)域。

用戶可以對安全區(qū)域進行默認規(guī)則設(shè)置，默熱規(guī)則包括三個選項 ACCEPT、REJECT、DROP，其中 ACCEPT 選項將放行所有流量，REJECT、DROP 選項將阻止所有進入該安全區(qū)域的流量，與 REJECT 不同的是 DROP 選項直接丟棄進入安全區(qū)域的數(shù)據(jù)包，并不會向該數(shù)據(jù)包的發(fā)起者回復(fù)任何信息。用戶可以使用命令：

firewall-cmd --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>

進行相應(yīng)安全區(qū)域的默認規(guī)則設(shè)置。

3.3、使用區(qū)域根據(jù)來源來管理傳入流量

你可以使用區(qū)域根據(jù)來源管理流入流量，這使你可以對傳入流量進行排序，并將其路由到不同區(qū)域，以允許或禁止該流量可以到達的服務(wù)。

如果將源添加到區(qū)域，則該區(qū)域?qū)⒆優(yōu)榛顒訝顟B(tài)，并且來自該源的任何傳入流量將通過它。你可以為每個區(qū)域指定不同的設(shè)置，該設(shè)置將應(yīng)用于來自給定來源的流量。即使你只有一個網(wǎng)絡(luò)接口，也可以使用更多區(qū)域。

通過以下實例，我們可以將特定網(wǎng)段對 HTTP 的請求流量進行更細致的管理，使用命令：

firewall-cmd --zone=trusted --add-source=192.168.1.0/24

將該網(wǎng)段作為資源加入到 trusted 區(qū)中，通過命令：

firewall-cmd --zone=trusted -add-service=http

將 Web 服務(wù)添加到相同區(qū)域中，隨后該目標地址產(chǎn)生的訪問 Web 服務(wù)流量將可以順利通過。

3.4、放火墻鎖機制

為了防止本地程序比如 KVM 虛擬機組件對防火墻的修改，F(xiàn)irewallD 還提供了一種鎖閉機制來防止本地程序或者服務(wù)組件對防火墻配置的修改，并且該命令只有 root 用戶本身才可以執(zhí)行。

用戶可以使用命令：

firewall-cmd --query-lockdown

查詢防火墻鎖閉狀態(tài)，當需要鎖閉時可以直接執(zhí)行命令：

firewall-cmd --lockdown-on

恢復(fù)到非鎖閉狀態(tài)時可以執(zhí)行命令：

firewall-cmd --lockdown-off

四、后記

FirewallD 防火墻組件作為 RedHat 對自由軟件社區(qū)的貢獻之一，具有很好的普適性，希望通過本文的講解使更多的用戶開始熟悉該防火墻軟件組件，并將其作為主機本地側(cè)防護很好的技術(shù)手段，不斷提高主機自身的 IPS 能力。在當今網(wǎng)絡(luò)環(huán)境復(fù)雜的形勢下讓主機具有更好的安全性和可用性。