Linux系统通过防火墙firewall进行安全加固

摘要：Firewall是Linux系统常用的防火墙管理工具，与iptables不同，Firewall是一款动态防火墙管理工具，用于实现持久的网络流量规则。所谓动态防火墙，是指Firewall在运行时，任何规则的变更都不需要对防火墙规则列表进行重新加载，只需要将变更部分保存并更新运行，并实时生效而无需重启服务。

文主要内容是使用Firewall防火墙进行Linux的安全加固管理，详细内容参考下文。

一、登陆系统

1.登陆Linux系统

2.查看防火墙Firewall运行状态

二、防火墙Firewall介绍

1.Firewall区域介绍

说明：在Firewall防火墙中，引入了Zone区域概念，本质上是一系列数据包过滤的规则，Firewall可以将某个网卡设置为一个指定的Zone。

执行指令# firewall-cmd --get-default-zone

查看目前网卡使用的区域Zone级别

备注：Public区域，在公共区域使用，public区域是网卡所处的默认区域。

2.Firewall区域级别介绍

说明：不同的Zone对应不同的信任级别，Firewall的Zone 提供了以下九个级别：

三、防火墙Firewall应用

1.Firewall使用命令

说明：防火墙Firewall的应用范围很广，有很多命令可以直接使用。以下是各种命令的使用介绍：

备注：一个区域可以绑定多个网卡，一个网卡只能绑定一个区域。

执行指令# firewall-cmd --get-zones查看Zone级别

执行指令# firewall-cmd --get-default-zone查看网卡使用级别

其他firewall-cmd使用指令：

2、Firewall使用实例

(1)添加tcp的80端口

(2)删除tcp的80端口

备注：执行指令# firewall-cmd --reload更新规则不重启服务；

或者# firewall-cmd --complete-reload更新规则并重启服务。

(3)设置public为默认的信任级别

执行指令# firewall-cmd --set-default-zone=public

(4)查看public区域的被允许的端口

执行指令# firewall-cmd --zone=public --list-ports

(5) 允许tcp端口80至public级别

执行指令# firewall-cmd --zone=public --add-port=80/tcp

(6) 允许tcp端口8080至 public 级别，并永久生效

执行指令# firewall-cmd --zone=public --add-port=8080/tcp --permanent

备注：只有加permanent参数，才能在执行reload指令后生效。

(7)管理服务

执行指令# firewall-cmd --zone=public --add-service=smtp添加服务

执行指令# firewall-cmd --zone=public --remove-service=smtp删除对应的服务

(8)配置IP地址伪装

执行指令# firewall-cmd --zone=external --query-masquerade查看地址伪装情况

(9)配置常用端口转发

执行指令# firewall-cmd --zone=external --add-masquerade启用端口转发

(10)配置其他服务组件

执行指令# firewall-cmd --get-services列举出firewall防火墙所支持的服务