ChrisTitusTech/linutil项目中的FirewallD防火墙配置指南

在Linux服务器管理中，防火墙配置是确保系统安全的关键环节。ChrisTitusTech/linutil项目目前主要提供了UFW(Uncomplicated Firewall)的防火墙配置方案，但许多企业级Linux发行版如RHEL、CentOS等默认使用FirewallD作为防火墙解决方案。本文将详细介绍如何在基于FirewallD的系统上实现与UFW相当的安全防护配置。

FirewallD与UFW的区别

FirewallD是Red Hat系列发行版的默认防火墙管理工具，相比UFW提供了更丰富的功能和更细粒度的控制。它采用区域(zone)和服务(service)的概念来管理网络流量，支持动态规则更新而无需重启服务。

基础配置步骤

1. 启用FirewallD服务 首先需要确保FirewallD服务已启用并运行：

   systemctl enable --now firewalld
   firewall-cmd --state
   

2. SSH连接限制配置 为了防止恶意攻击，我们需要限制SSH连接频率。由于FirewallD原生不支持类似UFW的限速功能，我们需要使用直接规则(direct rules)来实现：

   # IPv4规则
   firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 0 -p tcp --dport 22 \
       -m state --state NEW -m recent --set
   firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 22 \
       -m state --state NEW -m recent --update --seconds 30 --hitcount 6 \
       -j REJECT --reject-with tcp-reset
   
   # IPv6规则
   firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 0 -p tcp --dport 22 \
       -m state --state NEW -m recent --set
   firewall-cmd --permanent --direct --add-rule ipv6 filter INPUT_direct 1 -p tcp --dport 22 \
       -m state --state NEW -m recent --update --seconds 30 --hitcount 6 \
       -j REJECT --reject-with tcp-reset
   

   这些规则会在30秒内限制来自同一IP地址超过6次的SSH新连接尝试。

3. Web服务端口开放 对于运行Web服务的服务器，需要开放HTTP(80)和HTTPS(443)端口：

   firewall-cmd --permanent --add-service=http
   firewall-cmd --permanent --add-service=https
   

4. 应用配置变更 所有配置修改后，需要重新加载防火墙规则使其生效：

   firewall-cmd --reload
   

高级配置建议

1. 区域管理 FirewallD使用区域来管理不同信任级别的网络接口。生产环境建议将外部接口分配到"public"或"dmz"区域，内部接口分配到"trusted"区域。

2. 服务定义 FirewallD支持预定义的服务配置文件，位于/usr/lib/firewalld/services/。可以创建自定义服务定义来简化复杂应用的端口管理。

3. 富规则(Rich Rules) 对于更复杂的过滤需求，可以使用富规则语法：

   firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
   

4. 日志记录 可以通过添加日志规则来监控被拒绝的连接尝试，便于安全审计和故障排查。

配置验证与维护

1. 使用firewall-cmd --list-all查看当前所有规则
2. 使用journalctl -u firewalld -f实时监控防火墙日志
3. 定期检查/var/log/messages或journalctl中的防火墙相关条目

总结

虽然FirewallD的配置语法比UFW稍显复杂，但它提供了更强大的功能和更细粒度的控制。通过合理配置，可以构建出与UFW方案相当甚至更优的安全防护体系。对于使用Red Hat系发行版的系统管理员来说，掌握FirewallD的配置技巧是必备的技能之一。