這篇文章主要介紹怎么使用防火墻讓Linux更加強(qiáng)大，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

創(chuàng)新互聯(lián)建站堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的沙河口網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

防火墻的工作原理

網(wǎng)絡(luò)里不同設(shè)備之間的通信是通過一種叫做端口port的網(wǎng)關(guān)實現(xiàn)的。這里的端口指的并不是像 USB 端口 或者 HDMI 端口這樣的物理連接。在網(wǎng)絡(luò)術(shù)語中，端口是一個純粹的虛擬概念，用來表示某種類型的數(shù)據(jù)到達(dá)或離開一臺計算機(jī)時候所走的路徑。其實也可以換個名字來稱呼，比如叫“連接”或者“門口”，不過 早在 1981 年的時候 它們就被稱作端口了，這個叫法也沿用至今。其實端口這個東西沒有任何特別之處，只是一種用來指代一個可能會發(fā)生數(shù)據(jù)傳輸?shù)牡刂返姆绞健?/p>

1972 年，發(fā)布了一份 端口號列表（那時候的端口被稱為“套接字socket”），并且從此演化為一組眾所周知的標(biāo)準(zhǔn)端口號，幫助管理特定類型的網(wǎng)絡(luò)流量。比如說，你每天訪問網(wǎng)站的時候都會使用  80 和 443 端口，因為互聯(lián)網(wǎng)上的絕大多數(shù)人都同意（或者是默認(rèn)）數(shù)據(jù)從 web  服務(wù)器上傳輸?shù)臅r候是通過這兩個端口的。如果想要驗證這一點，你可以在使用瀏覽器訪問網(wǎng)站的時候在 URL 后面加上一個非標(biāo)準(zhǔn)的端口號碼。比如說，訪問  example.com:42 的請求會被拒絕，因為 example.com 在 42 端口上并不提供網(wǎng)站服務(wù)。

Navigating to a nonstandard port produces an error

如果你是通過 80 端口訪問同一個網(wǎng)站，就可以（不出所料地）正常訪問了。你可以在 URL 后面加上 :80 來指定使用 80 端口，不過由于 80 端口是 HTTP 訪問的標(biāo)準(zhǔn)端口，所以你的瀏覽器其實已經(jīng)默認(rèn)在使用 80 端口了。

當(dāng)一臺計算機(jī)（比如說 web 服務(wù)器）準(zhǔn)備在指定端口接收網(wǎng)絡(luò)流量的時候，保持該端口向網(wǎng)絡(luò)流量開放是一種可以接受的（也是必要的）行為。但是不需要接收流量的端口如果也處在開放狀態(tài)就比較危險了，這就是需要用防火墻解決的問題。

安裝 firewalld

有很多種配置防火墻的方式，這篇文章介紹 firewalld。在桌面環(huán)境下它被集成在網(wǎng)絡(luò)管理器Network Manager里，在終端里則是集成在 firewall-cmd 里。很多 Linux 發(fā)行版都預(yù)裝了這些工具。如果你的發(fā)行版里沒有，你可以把這篇文章當(dāng)成是管理防火墻的通用性建議，在你所使用的防火墻軟件里使用類似的方法，或者你也可以選擇安裝 firewalld。

比如說在 Ubuntu 上，你必須啟用 universe 軟件倉庫，關(guān)閉默認(rèn)的 ufw 防火墻，然后再安裝 firewalld：

$ sudo systemctl disable ufw$ sudo add-apt-repository universe$ sudo apt install firewalld

Fedora、CentOS、RHEL、OpenSUSE，以及其它很多發(fā)行版默認(rèn)就包含了 firewalld。

無論你使用哪個發(fā)行版，如果希望防火墻發(fā)揮作用，就必須保持它在開啟狀態(tài)，并且設(shè)置成開機(jī)自動加載。你應(yīng)該盡可能減少在防火墻維護(hù)工作上所花費的精力。

$ sudo systemctl enable --now firewalld

使用網(wǎng)絡(luò)管理器選擇區(qū)域

或許你每天都會連接到很多不同的網(wǎng)絡(luò)。在工作的時候使用的是一個網(wǎng)絡(luò)，在咖啡館里是另一個，在家里又是另一個。你的計算機(jī)可以判斷出哪一個網(wǎng)絡(luò)的使用頻率比較高，但是它并不知道哪一個是你信任的網(wǎng)絡(luò)。

一個防火墻的區(qū)域zone里包含了端口開放和關(guān)閉的預(yù)設(shè)規(guī)則。你可以通過使用區(qū)域來選擇一個對當(dāng)前網(wǎng)絡(luò)最適用的策略。

你可以打開網(wǎng)絡(luò)管理器里的連接編輯器（可以在應(yīng)用菜單里找到），或者是使用 nm-connection-editor & 命令以獲取所有可用區(qū)域的列表。

Network Manager Connection Editor

在網(wǎng)絡(luò)連接列表中，雙擊你現(xiàn)在所使用的網(wǎng)絡(luò)。

在出現(xiàn)的網(wǎng)絡(luò)配置窗口中，點擊“通用”標(biāo)簽頁。

在“通用”面板中，點擊“防火墻區(qū)域”旁邊的下拉菜單以獲取所有可用區(qū)域的列表。

Firewall zones

也可以使用下面的終端命令以獲取同樣的列表：

$ sudo firewall-cmd --get-zones

每個區(qū)域的名稱已經(jīng)可以透露出設(shè)計者創(chuàng)建這個區(qū)域的意圖，不過你也可以使用下面這個終端命令獲取任何一個區(qū)域的詳細(xì)信息：

$ sudo firewall-cmd --zone work --list-allwork  target: default  icmp-block-inversion: no  interfaces:  sources:  services: ssh dhcpv6-client  ports:  protocols:  [...]

在這個例子中，work 區(qū)域的配置是允許接收 SSH 和 DHCPv6-client 的流量，但是拒絕接收其他任何用戶沒有明確請求的流量。（換句話說，work 區(qū)域并不會在你瀏覽網(wǎng)站的時候攔截 HTTP 響應(yīng)流量，但是 會攔截一個針對你計算機(jī)上 80 端口的 HTTP 請求。）

你可以依次查看每一個區(qū)域，弄清楚它們分別都允許什么樣的流量。比較常見的有：

• work：這個區(qū)域應(yīng)該在你非常信任的網(wǎng)絡(luò)上使用。它允許 SSH、DHCPv6 和 mDNS，并且還可以添加更多允許的項目。該區(qū)域非常適合作為一個基礎(chǔ)配置，然后在此之上根據(jù)日常辦公的需求自定義一個工作環(huán)境。

• public： 用在你不信任的網(wǎng)絡(luò)上。這個區(qū)域的配置和工作區(qū)域是一樣的，但是你不應(yīng)該再繼續(xù)添加其它任何允許項目。

• drop：  所有傳入連接都會被丟棄，并且不會有任何響應(yīng)。在不徹底關(guān)閉網(wǎng)絡(luò)的條件下，這已經(jīng)是最接近隱形模式的配置了，因為只允許傳出網(wǎng)絡(luò)連接（不過隨便一個端口掃描器就可以通過傳出流量檢測到你的計算機(jī)，所以這個區(qū)域并不是一個隱形裝置）。如果你在使用公共  WiFi，這個區(qū)域可以說是最安全的選擇；如果你覺得當(dāng)前的網(wǎng)絡(luò)比較危險，這個區(qū)域也一定是最好的選擇。

• block： 所有傳入連接都會被拒絕，但是會返回一個消息說明所請求的端口被禁用了。只有你主動發(fā)起的網(wǎng)絡(luò)連接是被允許的。這是一個友好版的 drop 區(qū)域，因為雖然還是沒有任何一個端口允許傳入流量，但是說明了會拒絕接收任何不是本機(jī)主動發(fā)起的連接。

• home： 在你信任網(wǎng)絡(luò)里的其它計算機(jī)的情況下使用這個區(qū)域。該區(qū)域只會允許你所選擇的傳入連接，但是你可以根據(jù)需求添加更多的允許項目。

• internal： 和工作區(qū)域類似，該區(qū)域適用于內(nèi)部網(wǎng)絡(luò)，你應(yīng)該在基本信任網(wǎng)絡(luò)里的計算機(jī)的情況下使用。你可以根據(jù)需求開放更多的端口和服務(wù)，同時保持和工作區(qū)域不同的一套規(guī)則。

• trusted： 接受所有的網(wǎng)絡(luò)連接。適合在故障排除的情況下或者是在你絕對信任的網(wǎng)絡(luò)上使用。

為網(wǎng)絡(luò)指定一個區(qū)域

你可以為你的任何一個網(wǎng)絡(luò)連接都指定一個區(qū)域，并且對于同一個網(wǎng)絡(luò)的不同連接方式（比如以太網(wǎng)、WiFi 等等）也可以指定不同的區(qū)域。

選擇你想要的區(qū)域，點擊“保存”按鈕提交修改。

Setting a new zone

養(yǎng)成為網(wǎng)絡(luò)連接指定區(qū)域的習(xí)慣的最好辦法是從你最常用的網(wǎng)絡(luò)開始。為你的家庭網(wǎng)絡(luò)指定家庭區(qū)域，為工作網(wǎng)絡(luò)指定工作區(qū)域，為你最喜歡的圖書館或者咖啡館的網(wǎng)絡(luò)指定公關(guān)區(qū)域。

一旦你為所有常用的網(wǎng)絡(luò)都指定了一個區(qū)域，在之后加入新的網(wǎng)絡(luò)的時候（無論是一個新的咖啡館還是你朋友家的網(wǎng)絡(luò)），試圖也為它指定一個區(qū)域吧。這樣可以很好地讓你意識到不同的網(wǎng)絡(luò)的安全性是不一樣的，你并不會僅僅因為使用了 Linux 而比任何人更加安全。

默認(rèn)區(qū)域

每次你加入一個新的網(wǎng)絡(luò)的時候，firewalld 并不會提示你進(jìn)行選擇，而是會指定一個默認(rèn)區(qū)域。你可以在終端里輸入下面這個命令來獲取你的默認(rèn)區(qū)域：

$ sudo firewall-cmd --get-defaultpublic

在這個例子里，默認(rèn)區(qū)域是 public 區(qū)域。你應(yīng)該保證該區(qū)域有非常嚴(yán)格的限制規(guī)則，這樣在將它指定到未知網(wǎng)絡(luò)中的時候才比較安全?；蛘吣阋部梢栽O(shè)置你自己的默認(rèn)區(qū)域。

比如說，如果你是一個比較多疑的人，或者需要經(jīng)常接觸不可信任的網(wǎng)絡(luò)的話，你可以設(shè)置一個非常嚴(yán)格的默認(rèn)區(qū)域：

$ sudo firewall-cmd --set-default-zone dropsuccess$ sudo firewall-cmd --get-defaultdrop

這樣一來，任何你新加入的網(wǎng)絡(luò)都會被指定使用 drop 區(qū)域，除非你手動將它制定為另一個沒有這么嚴(yán)格的區(qū)域。

通過開放端口和服務(wù)實現(xiàn)自定義區(qū)域

Firewalld 的開發(fā)者們并不是想讓他們設(shè)定的區(qū)域能夠適應(yīng)世界上所有不同的網(wǎng)絡(luò)和所有級別的信任程度。你可以直接使用這些區(qū)域，也可以在它們基礎(chǔ)上進(jìn)行個性化配置。

你可以根據(jù)自己所需要進(jìn)行的網(wǎng)絡(luò)活動決定開放或關(guān)閉哪些端口，這并不需要對防火墻有多深的理解。

預(yù)設(shè)服務(wù)

在你的防火墻上添加許可的最簡單的方式就是添加預(yù)設(shè)服務(wù)。嚴(yán)格來講，你的防火墻并不懂什么是“服務(wù)”，因為它只知道端口號碼和使用協(xié)議的類型。不過在標(biāo)準(zhǔn)和傳統(tǒng)的基礎(chǔ)之上，防火墻可以為你提供一套端口和協(xié)議的組合。

比如說，如果你是一個 web 開發(fā)者并且希望你的計算機(jī)對本地網(wǎng)絡(luò)開放（這樣你的同事就可以看到你正在搭建的網(wǎng)站了），可以添加 http 和 https 服務(wù)。如果你是一名游戲玩家，并且在為你的游戲公會運行開源的 murmur 語音聊天服務(wù)器，那么你可以添加 murmur 服務(wù)。還有其它很多可用的服務(wù)，你可以使用下面這個命令查看：

$ sudo firewall-cmd --get-services    amanda-client amanda-k5-client bacula bacula-client \    bgp bitcoin bitcoin-rpc ceph cfengine condor-collector \    ctdb dhcp dhcpv6 dhcpv6-client dns elasticsearch \    freeipa-ldap freeipa-ldaps ftp [...]

如果你找到了一個自己需要的服務(wù)，可以將它添加到當(dāng)前的防火墻配置中，比如說：

$ sudo firewall-cmd --add-service murmur

這個命令 在你的默認(rèn)區(qū)域里添加了指定服務(wù)所需要的所有端口和協(xié)議，不過在重啟計算機(jī)或者防火墻之后就會失效。如果想讓你的修改永久有效，可以使用 --permanent 標(biāo)志：

$ sudo firewall-cmd --add-service murmur --permanent

你也可以將這個命令用于一個非默認(rèn)區(qū)域：

$ sudo firewall-cmd --add-service murmur --permanent --zone home

端口

有時候你希望允許的流量并不在 firewalld 定義的服務(wù)之中。也許你想在一個非標(biāo)準(zhǔn)的端口上運行一個常規(guī)服務(wù)，或者就是想隨意開放一個端口。

舉例來說，也許你正在運行開源的 虛擬桌游 軟件 MapTool。由于 MapTool 服務(wù)器應(yīng)該使用哪個端口這件事情并沒有一個行業(yè)標(biāo)準(zhǔn)，所以你可以自行決定使用哪個端口，然后在防火墻上“開一個洞”，讓它允許該端口上的流量。

實現(xiàn)方式和添加服務(wù)差不多：

$ sudo firewall-cmd --add-port 51234/tcp

這個命令 在你的默認(rèn)區(qū)域里將 51234 端口向 TCP 傳入連接開放，不過在重啟計算機(jī)或者防火墻之后就會失效。如果想讓你的修改永久有效，可以使用 --permanent 標(biāo)志：

$ sudo firewall-cmd --add-port 51234/tcp --permanent

你也可以將這個命令用于一個非默認(rèn)區(qū)域：

$ sudo firewall-cmd --add-port 51234/tcp --permanent --zone home

在路由器的防火墻上設(shè)置允許流量和在本機(jī)上設(shè)置的方式是不同的。你的路由器可能會為它的內(nèi)嵌防火墻提供一個不同的配置界面（原理上是相同的），不過這就超出本文范圍了。

移除端口和服務(wù)

如果你不再需要某項服務(wù)或者某個端口了，并且設(shè)置的時候沒有使用 --permanent 標(biāo)志的話，那么可以通過重啟防火墻來清除修改。

如果你已經(jīng)將修改設(shè)置為永久生效了，可以使用 --remove-port 或者 --remove-service 標(biāo)志來清除：

$ sudo firewall-cmd --remove-port 51234/tcp --permanent

你可以通過在命令中指定一個區(qū)域以將端口或者服務(wù)從一個非默認(rèn)區(qū)域中移除。

$ sudo firewall-cmd --remove-service murmur --permanent --zone home

自定義區(qū)域

你可以隨意使用 firewalld 默認(rèn)提供的這些區(qū)域，不過也完全可以創(chuàng)建自己的區(qū)域。比如如果希望有一個針對游戲的特別區(qū)域，你可以創(chuàng)建一個，然后只有在玩兒游戲的時候切換到該區(qū)域。

如果想要創(chuàng)建一個新的空白區(qū)域，你可以創(chuàng)建一個名為 game 的新區(qū)域，然后重新加載防火墻規(guī)則，這樣你的新區(qū)域就啟用了：

$ sudo firewall-cmd --new-zone game --permanentsuccess$ sudo firewall-cmd --reload

一旦創(chuàng)建好并且處于啟用狀態(tài)，你就可以通過添加玩游戲時所需要的服務(wù)和端口來實現(xiàn)個性化定制了。

以上是“怎么使用防火墻讓Linux更加強(qiáng)大”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！