RHEL7防火墙图形化配置详解

LEAF
RHEL7防火墙图形化配置主要通过firewalld及配套的firewall-config工具实现,简化了防火墙管理流程,用户可通过图形界面轻松管理防火墙规则,包括添加/删除允许的服务(如HTTP、SSH)、开放特定端口、配置端口转发及设置网络区域(如public、trusted),操作直观,无需记忆复杂命令,适合不熟悉命令行的用户,通过“服务”“端口”“富规则”等标签页,可快速启用/禁用服务、指定端口范围,并实时查看配置效果,有效提升防火墙配置效率与安全性。

在RHEL7(Red Hat Enterprise Linux 7)系统中,防火墙默认采用firewalld服务替代了传统的iptables,提供了更动态、更灵活的网络流量管理方式,对于习惯图形化操作的用户,RHEL7提供了直观的防火墙配置工具,无需记忆复杂命令即可完成规则配置,本文将详细介绍RHEL7防火墙的图形化配置方法,帮助用户轻松管理服务器安全策略。

RHEL7防火墙基础:认识firewalld

在开始配置前,需先了解firewalld的核心概念:

  • 区域(Zone):firewalld将网络划分为不同级别的“安全区域”(如publictrustedhome等),每个区域默认有不同的规则集(如public区域默认拒绝外部主动访问,允许内部发起的连接)。
  • 服务(Service):预定义的应用服务(如httpsshftp),包含对应的端口和协议(如http默认使用TCP 80端口)。
  • 永久性(Permanent):配置分为“运行时”(立即生效)和“永久”(重启后生效),默认修改为运行时模式,需手动勾选“永久”才能持久化。

准备图形化环境

确认是否安装图形界面

RHEL7默认可能为最小化安装,需确保已安装图形界面(如GNOME),可通过以下命令检查:

RHEL7防火墙图形化配置详解

systemctl get-default

若输出为multi-user.target(命令行模式),需安装图形界面:

yum groupinstall "GNOME Desktop Environment" -y

安装后重启系统,即可进入图形界面。

启动firewalld服务

firewalld服务默认可能未启动,需手动开启并设置开机自启:

systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld  # 确认运行状态

打开防火墙图形化配置工具

RHEL7提供了firewall-config工具,可通过以下两种方式打开:

方法1:命令行启动

在终端输入:

firewall-config

需注意,普通用户可能需要sudo权限(sudo firewall-config)。

方法2:图形界面菜单

点击应用程序菜单 → “系统工具” → “防火墙”,即可打开配置界面。

图形化配置界面详解

打开firewall-config后,界面分为左侧导航栏和右侧配置区,核心功能如下:

左侧导航栏

  • “区域”选项卡:显示当前所有网络区域(如publicworkhome等),当前活动的区域会有高亮标记。
  • “服务”选项卡:管理预定义服务(如添加/删除httpssh等)。
  • “端口”选项卡:自定义添加/删除端口规则(如开放TCP 8080端口)。
  • “富规则”选项卡:配置更复杂的规则(如基于IP、协议的高级控制)。

右侧配置区

  • “运行时模式”/“永久模式”切换:勾选“永久”后,配置会在重启后保留。
  • “选项”区域:包含“默认区域”“接口绑定”等基础设置。
  • “操作”按钮:如“添加服务”“添加端口”“应用”等。

常用图形化配置操作

查看当前区域与规则

  • 在左侧“区域”选项卡中,点击当前活动区域(如public),右侧可查看已启用的服务、端口及富规则。
  • 示例:查看public区域已开放的服务,可在“服务”列表中勾选已启用的服务(如ssh)。

开放预定义服务(如HTTP)

若需允许外部访问Web服务(HTTP),操作步骤如下:

  1. 左侧选择“区域”(如public);
  2. 右侧点击“服务” → “添加服务”;
  3. 在弹出的列表中勾选http(或https),点击“添加”;
  4. 勾选“永久”复选框,点击“应用”保存。

完成后,外部即可通过TCP 80端口访问服务器。

开放自定义端口(如TCP 8080)

若需开放未在预定义服务中的端口(如应用服务使用的8080端口):

  1. 左侧选择“区域”(如public);
  2. 右侧点击“端口” → “添加端口”;
  3. 输入端口号(8080)、选择协议(TCPUDP),点击“添加”;
  4. 勾选“永久”,点击“应用”保存。

可通过netstat -tuln | grep 8080验证端口是否开放。

配置富规则(高级控制)

富规则可实现更精细化的控制,仅允许IP 192.168.1.100访问SSH服务”:

  1. 左侧选择“区域”(如public);
  2. 右侧点击“富规则” → “添加富规则”;
  3. 在弹出的窗口中配置:
    • “规则类型”:选择“允许”;
    • “服务”:选择ssh
    • “源地址”:输入168.1.100
  4. 点击“添加”,勾选“永久”并“应用”保存。

若需拒绝特定IP访问,可将“规则类型”设为“拒绝”,并配置对应源地址。

修改默认区域

默认情况下,所有网络接口绑定到public区域,若需修改默认区域(如改为home):

  1. 左侧选择“区域”;
  2. 右侧点击“选项” → “默认区域”;
  3. 在下拉菜单中选择home,点击“应用”保存。

禁用/启用防火墙

临时禁用(立即生效,重启后恢复):
firewall-config界面顶部菜单栏点击“防火墙” → “停止防火墙”。

永久禁用(重启后仍禁用):
禁用前勾选“永久”,点击“防火墙” → “停止防火墙”,再点击“应用”。

重新启用:点击“防火墙” → “启动防火墙”,勾选“永久”并“应用”。

常见问题与解决

无法打开firewall-config

原因:未安装图形界面或工具包。
解决:安装firewall-config图形工具:

yum install firewall-config -y

修改规则后不生效

原因:未勾选“永久”模式,或未点击“应用”。
解决:重新打开firewall-config,确保勾选“永久”,点击“应用”保存。

图形化配置与命令行冲突

原因:同时使用图形化和命令行(firewall-cmd)配置可能导致规则混乱。
建议:优先使用一种方式,避免混用,若需命令行验证,可使用:

firewall-cmd --list-all  # 查看当前区域规则
firewall-cmd --list-services  # 查看已启用的服务

RHEL7的firewall-config工具为图形化用户提供了便捷的防火墙管理方式,通过直观的界面操作即可完成服务开放、端口配置、富规则设置等任务,对于基础和中高级安全策略,图形化工具足够满足需求,同时也能避免命令行操作的复杂性,但需注意,复杂或批量场景下,firewall-cmd命令行工具仍具有更高的效率,用户可根据实际需求灵活选择配置方式,通过合理配置防火墙规则,可有效提升服务器的安全性,保障网络服务的稳定运行。

文章版权声明:除非注明,否则均为XMSDN - MSDN原版系统镜像 | 纯净ISO系统下载原创文章,转载或复制请以超链接形式并注明出处。

取消
微信二维码
微信二维码
支付宝二维码