firewall详解(firewalld forward)

本文目录：

• 1、防火墙的作用？？
• 2、firewall-cmd命令详解
• 3、防火墙、
  怎么理解？
• 4、什么是防火墙悖论(firewall paradox) 说是和爱因斯坦的广义相对论相矛盾的悖论 求详细解释
• 5、防火墙配置策略
• 6、电脑防火墙打开好还是关闭好

防火墙的作用？？

防火墙的功能：将内部网络与外网有效隔离开，对非法用户进行阻隔，并将一些不安全的服务全部滤除掉。

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动。

/iknow-pic.cdn.bcebos.com/64380cd7912397dd4a5edf885782b2b7d0a28713"target="_blank"title="点击查看大图"class="cha-f2be-1204-4931-9b07 ikqb_img_alink"/iknow-pic.cdn.bcebos.com/64380cd7912397dd4a5edf885782b2b7d0a28713?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc=""/

扩展资料：

特征：

防火墙需要严格控制信息的交换，营造健康的网络环境，将危险的网络信息阻隔在计算机通信系统之外。而所有进入内网的信息都需要经过防火墙技术的检查，一旦防火墙技术检测出不符合互联网规范的通信信息，就会启动自我防御程序，将该信息删除。

计算机的广泛应用促进人们生活生产方式的重大变革，也逐渐改变企业的经营方式，电子商务、电子支付等互联网技术的广泛应用，在为人们提供便利的同时，也给一些不法分子提供可趁之机。

部分黑客甚至利用计算机网络系统中存在的安全漏洞肆意盗取他人的数据信息，以达到自己的经济目的，而给其他人造成严重的经济损失。而防火墙技术能够充分发挥安全防护作用，在内外网信息交换过程中阻止非法信息进入计算机运算系统之中。

参考资料来源：/baike.baidu.com/item/%E9%98%B2%E7%81%AB%E5%A2%99/52767"target="_blank"title="百度百科-防火墙"百度百科-防火墙

firewall-cmd命令详解

# 安装firewalld

yum install firewalld firewall-config

systemctl start  firewalld # 启动

systemctl status firewalld # 或者 firewall-cmd --state 查看状态

systemctl disable firewalld # 停止

systemctl stop firewalld  # 禁用

# 你也可以关闭目前还不熟悉的FirewallD防火墙，而使用iptables，命令如下：

yum install iptables-services

systemctl start iptables

systemctl enable iptables

配置

```

firewall-cmd --version  # 查看版本

firewall-cmd --help    # 查看帮助

# 查看设置：

firewall-cmd --state  # 显示状态

firewall-cmd --get-active-zones  # 查看区域信息

firewall-cmd --get-zone-of-interface=eth0  # 查看指定接口所属区域

firewall-cmd --panic-on  # 拒绝所有包

firewall-cmd --panic-off  # 取消拒绝状态

firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则

firewall-cmd --complete-reload

# 两者的区别就是第一个无需断开连接，就是firewalld特性之一动态添加规则，第二个需要断开连接，类似重启服务

# 将接口添加到区域，默认接口都在public

firewall-cmd --zone=public --add-interface=eth0

# 永久生效再加上 --permanent 然后reload防火墙

# 设置默认接口区域，立即生效无需重启

firewall-cmd --set-default-zone=public

# 查看所有打开的端口：

firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域：

firewall-cmd --zone=dmz --add-port=8080/tcp

# 打开一个服务，类似于将端口可视化，服务需要在配置文件中添加，/etc/firewalld 目录下有services文件夹，这个不详细说了，详情参考文档

firewall-cmd --zone=work --add-service=smtp

# 移除服务

firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表

firewall-cmd --get-zones

# 设置为家庭区域

firewall-cmd --set-default-zone=home

# 查看当前区域

firewall-cmd --get-active-zones

# 设置当前区域的接口

firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域（public）

firewall-cmd --zone=public --list-all

# 临时修改网络接口（enp0s3）为内部区域（internal）

firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域（internal）

firewall-cmd --permanent --zone=internal --change-interface=enp03s

服务管理

# 显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务，可以使用如下命令查看：

firewall-cmd --get-services

# 允许SSH服务通过

firewall-cmd --enable service=ssh

# 禁止SSH服务通过

firewall-cmd --disable service=ssh

# 打开TCP的8080端口

firewall-cmd --enable ports=8080/tcp

# 临时允许Samba服务通过600秒

firewall-cmd --enable service=samba --timeout=600

# 显示当前服务

firewall-cmd --list-services

# 添加HTTP服务到内部区域（internal）

firewall-cmd --permanent --zone=internal --add-service=http

firewall-cmd --reload    # 在不改变状态的条件下重新加载防火墙

端口管理

# 打开443/TCP端口

firewall-cmd --add-port=443/tcp

# 永久打开3690/TCP端口

firewall-cmd --permanent --add-port=3690/tcp

# 永久打开端口好像需要reload一下，临时打开好像不用，如果用了reload临时打开的端口就失效了

firewall-cmd --reload

# 查看防火墙，添加的端口也可以看到

firewall-cmd --list-all

控制端口/服务

可以通过两种方式控制端口的开放，一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口，但是还是不能通过端口号来关闭，也就是说通过指定服务名开放的就要通过指定服务名关闭；通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议，tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了，可以让防火墙真正的生效。

firewall-cmd --add-service=mysql # 开放mysql端口

firewall-cmd --remove-service=http      # 阻止http端口

firewall-cmd --list-services            # 查看开放的服务

firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306

firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306

firewall-cmd --add-port=233/udp        # 开放通过udp访问233

firewall-cmd --list-ports              # 查看开放的端口

伪装IP

firewall-cmd --query-masquerade# 检查是否允许伪装IP

firewall-cmd --add-masquerade# 允许防火墙伪装IP

firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时，将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机，如果指定了 ip 却没指定端口，则默认使用来源端口。 如果配置好端口转发之后不能用，可以检查下面两个问题：

比如我将 80 端口转发至 8080 端口，首先检查本地的 80 端口和目标的 8080 端口是否开放监听了

其次检查是否允许伪装 IP，没允许的话要开启伪装 IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080# 将80端口的流量转发至8080

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1# 将80端口的流量转发至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080# 将80端口的流量转发至192.168.0.1的8080端口

当我们想把某个端口隐藏起来的时候，就可以在防火墙上阻止那个端口访问，然后再开一个不规则的端口，之后配置防火墙的端口转发，将流量转发过去。

端口转发还可以做流量分发，一个防火墙拖着好多台运行着不同服务的机器，然后用防火墙将不同端口的流量转发至不同机器。

转自：

防火墙、
怎么理解？

防火墙是一种路由器设备，
是一种虚拟通道，是一种技术。再结合楼上搜到的具体解释来了解^_^。

什么是防火墙悖论(firewall paradox) 说是和爱因斯坦的广义相对论相矛盾的悖论 求详细解释

这是对于黑洞的研究而言的, 要理解它,你首先要理解黑洞的产生以及物理特征.

最初以为黑洞只入不出,连光线都"吞"进去了,没有什么可以出来,但是最后证实还是有粒子可以出来的,根据能量守恒定律,通过辐射能量的方式,达到将物质输送出来.

1976年，霍金称自己通过计算得出结论，黑洞一旦形成，就开始向外辐射能量，但这种辐射并不包含黑洞内部物质的“信息”。最终黑洞将因为质量丧失殆尽而消失，而那些黑洞内部的信息也就不知去向，量子物理学认为，类似黑洞这样质量巨大物体的信息是不可能完全丧失的。霍金对之解释说，黑洞巨大的万有引力场在某种程度上破坏了量子物理学的理论。这便是所谓的“黑洞悖论”。

2004年7月，霍金修正了自己原来的“黑洞悖论”观点，信息应该守恒。

通过解释为何光逃不出黑洞(或者说把光锁在黑洞视界内), 物理学家普遍依照两条定律来证明.

一是通过相对论, 相对论认为，引力是不存在的，取而代之的是质量会导致时空扭曲，而光在沿着被黑洞扭曲的时空行进的时候，就跟着时空一起坠入了深渊。 远在发现黑洞之前,相对论就预测了黑洞的存在, 所以用相对论来解释一点也没错.

二是通过量子物理学, 得到所谓的防火墙悖论. 意思是引力足够大,把光子套住了,在视界上形成防火墙,这样在防火墙内的光就看不到了.

这两个命题看似相悖的.(这里解释了你的疑问,但是两者是不是实质上相矛盾的呢,看以下.)

萨姆-布朗斯坦(Sam Braunstein)教授和斯特凡诺-派兰多拉(Stefano Pirandola)博士最近2013.3表示,借鉴量子力学理论分支下的量子信息理论，即认为光和原子是信息的载体，从而得出穿越黑洞的事物也会有量子缠结。所有黑洞都会有量子缠结, 但是是不是最大化呢?如果是最大化,就不会有能量微粒幕(防火墙)出现, 如果不是就有防火墙出现,如果量子缠结消失, 能量微粒幕就会后退, 缠结越大,后退时间就会越慢. 只要证明这种情况属实, 那重力与量子都不相悖.

防火墙配置策略

pix515防火墙配置策略实例

#转换特权用户

pixfirewallena

pixfirewall#

#进入全局配置模式

pixfirewall# conf t

#激活内外端口

interface ethernet0 auto

interface ethernet1 auto

#下面两句配置内外端口的安全级别

nameif ethernet0 outside security0

nameif ethernet1 inside security100

#配置防火墙的用户信息

enable password pix515

hostname pix515

domain-name domain

#下面几句配置内外网卡的IP地址

ip address inside 192.168.4.1 255.255.255.0

ip address outside 公网IP 公网IP子网掩码

global (outside) 1 interface

nat (inside) 1 192.168.4.0 255.255.255.0 0 0

#下面两句将定义转发公网IP的ssh和www服务到192.168.4.2

static (inside,outside) tcp 公网IP www 192.168.4.2 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0

#下面两句将定义外部允许访问内部主机的服务

conduit permit tcp host 公网IP eq www any

conduit permit tcp host 公网IP eq ssh 信任IP 255.255.255.255

#允许内部服务器telnet pix

telnet 192.168.4.2 255.255.255.0 inside

#下面这句允许ping

conduit permit icmp any any

#下面这句路由网关

route outside 0.0.0.0 0.0.0.0 公网IP网关 1

#保存配置

write memory

电脑防火墙打开好还是关闭好

电脑防火墙打开好还是关闭好

具体情况具体分析，详解如下

必须是开着防火墙开着或许会占用你的网速但是好的防火墙绝对保障你的安全。

很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是很危险的！

在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。怎样才能让我们的系统保全于如此险恶的网络环境呢？

光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。

杀毒软件发展了十几年，依然是停留在被动杀毒的层面（当主动防御这个概念出现以后，国内一些杀毒厂商纷纷标榜已经实现主动防御，实际上无非是炒作一些概念赚取眼球，这点急功近利的心理也是导致他们停滞不前的原因之一），

从杀毒软件的原理来看，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，而且这个特征码还是需要在用户反映遇到病毒后上传病毒样本才能获取。

【firewall详解】的内容来源于互联网，如引用不当，请联系我们修改。