Firewalld - Firewalld
Эта статья может быть слишком техническим для большинства читателей, чтобы понять. Пожалуйста помогите улучшить это к сделать понятным для неспециалистов, не снимая технических деталей. (Январь 2019) (Узнайте, как и когда удалить этот шаблон сообщения) |
Разработчики) | Томас Вернер, Red Hat, Inc. |
---|---|
изначальный выпуск | 3 января 2011 г.[1] |
Стабильный выпуск | 0.9.0 / 2 сентября 2020 г. |
Репозиторий | github |
Написано в | Python |
Операционная система | Linux |
Платформа | Netfilter |
Лицензия | Стандартная общественная лицензия GNU 2 |
Интернет сайт | www |
Firewalld это брандмауэр инструмент управления для Операционные системы Linux. Он обеспечивает функции брандмауэра, выступая в качестве интерфейса для ядра Linux. сетевой фильтр рамки через столы утилита пользовательского пространства (до v0.6.0 iptables бэкэнд),[2] действует как альтернатива программе командной строки nft. Название Firewalld придерживается Unix соглашение о системе именования демоны добавив букву «д».[3]
firewalld написан на Python. Он был предназначен для переноса на C ++, но в январе 2015 года от проекта по портированию отказались.[4]
Функции
firewalld поддерживает оба IPv4 и IPv6 сетей и может управлять отдельными зоны межсетевого экрана с разной степенью доверия, как определено в профили зон. Администраторы могут настраивать Сетевой менеджер для автоматического переключения профилей зон на основе известных Вай фай (беспроводной) и Ethernet (проводные) сети, но firewalld не может этого сделать самостоятельно.[5]
Сервисы и приложения могут использовать D-автобус интерфейс для запроса и настройки брандмауэра.[6] firewalld поддерживает временные правила, то есть количество подключений (или «попаданий») к службе может быть ограничено глобально. Нет поддержки для подсчета совпадений и последующего отказа в подключении для каждого IP-адреса источника; распространенный метод, используемый для ограничения воздействия грубая сила взлом и Распределенный отказ в обслуживании атаки.[7]
Синтаксис команд firewalld похож на синтаксис, но более подробный, чем у других iptables интерфейсы вроде Ubuntu с Несложный брандмауэр (уфв).[7] Интерфейс командной строки позволяет управлять наборами правил брандмауэра для протокола, портов, источника и назначения; или предварительно определенные службы по имени.
Услуги определяются как XML файлы, содержащие сопоставления портов и протоколов, а также дополнительную информацию, например указание подсети и перечисление необходимых вспомогательных модулей ядра.[8]Синтаксис похож на синтаксис systemd служебные файлы. Простой служебный файл для прослушивания веб-сервера TCP порт 443 может выглядеть так:
<?xml version="1.0" encoding="utf-8"?><service> <short>Веб сервер</short> <description>Публичный веб-хостинг по HTTPS.</description> <порт порт ="443" протокол ="TCP" /></service>
Ограничения:
Firewalld в настоящее время не поддерживает исходящие правила в той же степени, что и правила для входящих. Ограничения включают такие вещи, как ipsets, имена служб и исходящая блокировка по умолчанию по правилам по умолчанию, требуемым такими стандартами, как NIST 800-171 и 800-53. Блокировка по умолчанию должна выполняться на «исходном» уровне IPTables с помощью флага --direct, а с учетом порядка операций, которые FirewallD использует для определения приоритетов Rrules, rich rules, direct rules, может быть проще ввести все правила для исходящих через --direct или использовать iptables (netfilter-persist)
Графические интерфейсы (GUI)
firewall-config - это графический интерфейс, который опционально входит в состав firewalld и поддерживает большинство его функций.
брандмауэр-апплет это небольшая утилита индикатора состояния, которая может быть включена в firewalld. Он может предоставлять уведомления журнала событий брандмауэра, а также быстрый способ открыть firewall-config. firewall-апплет был перенесен из GTK + к Qt фреймворком летом 2015 г. после Рабочий стол GNOME Отказ от системный трей иконы.[9]
Принятие
firewalld по умолчанию поставляется в следующих дистрибутивах Linux:[6]
- CentOS 7 и новее
- Fedora 18 и новее
- OpenSUSE Leap 15 и новее[10]
- Red Hat Enterprise Linux 7 и новее
- SUSE Linux Enterprise 15 и новее[10]
firewalld включен по умолчанию во всех этих дистрибутивах. firewalld также доступен как один из множества вариантов брандмауэра в репозитории пакетов многих других популярных дистрибутивов, таких как Debian[11] или Ubuntu.
Рекомендации
- ^ "Firewalld релизы". репозиторий github.com. Получено 29 марта 2017.
- ^ «Релиз firewalld-0.6.0 · firewalld / firewalld». Firewalld на github. Получено 2019-06-12.
- ^ Керриск, Майкл (2010). Программный интерфейс Linux. Сан-Франциско, Калифорния: без крахмала. п.768. ISBN 9781593272203.
- ^ "страница разработки firewalld". веб-сайт проекта firewalld. Архивировано из оригинал 3 февраля 2016 г.. Получено 9 февраля 2016.
- ^ "FirewallD". Вики сообщества Fedora. Получено 9 февраля 2016.
- ^ а б "домашняя страница проекта firewalld". веб-сайт проекта firewalld. Получено 9 февраля 2016.
- ^ а б Александерсен, Даниэль. «Сравнение и противопоставление несложного межсетевого экрана и FirewallD». Незначительное будущее. Получено 9 февраля 2016.
- ^ "файлы конфигурации службы firewalld". Тема Томаса Вернера на сайте Fedora People. Получено 9 февраля 2016.
- ^ Вернер, Томас. "На пути к Qt". блог firewalld. Архивировано из оригинал 16 февраля 2016 г.. Получено 9 февраля 2016.
- ^ а б https://en.opensuse.org/Firewalld
- ^ "Пакет: firewalld". Репозиторий пакетов Debian. Получено 9 февраля 2016.