centos7下的Firewalld

一、介绍

防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。

二、常用命令介绍

# systemctl start firewalld # 启动,

# systemctl enable firewalld # 开机启动

# systemctl stop firewalld # 关闭

# systemctl disable firewalld # 取消开机启动

firewall-cmd --state           ##查看防火墙状态，是否是running

firewall-cmd --reload         ##重新载入配置，比如添加规则之后，需要执行此命令

firewall-cmd --get-zones   ##列出支持的zone

firewall-cmd --get-services##列出支持的服务，在列表中的服务是放行的

firewall-cmd --query-service ftp##查看ftp服务是否支持，返回yes或者no

firewall-cmd --add-service=ftp  ##临时开放ftp服务

firewall-cmd --add-service=ftp --permanent##永久开放ftp服务

firewall-cmd --remove-service=ftp --permanent##永久移除ftp服务

firewall-cmd --add-port=80/tcp --permanent  ##永久添加80端口

iptables -L -n                        ##查看规则，这个命令是和iptables的相同的

查看帮助man firewall-cmd

三、firewalld和iptables的关系

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

四、firewalld的配置模式

firewalld的配置文件以xml格式为主（主配置文件firewalld.conf例外），他们有两个存储位置

1、/etc/firewalld/ 用户配置文件

2、/usr/lib/firewalld/ 系统配置文件，预置文件

我们知道每个zone就是一套规则集，但是有那么多zone，对于一个具体的请求来说应该使用哪个zone（哪套规则）来处理呢？这个问题至关重要，如果这点不弄明白其他的都是空中楼阁，即使规则设置的再好，不知道怎样用、在哪里用也不行。

对于一个接受到的请求具体使用哪个zone，firewalld是通过三种方法来判断的：

1、source，也就是源地址 优先级最高

2、interface，接收请求的网卡 优先级第二

3、firewalld.conf中配置的默认zone 优先级最低

这三个的优先级按顺序依次降低，也就是说如果按照source可以找到就不会再按interface去查找，如果前两个都找不到才会使用第三个，也就是学生在前面给大家讲过的在firewalld.conf中配置的默认zone

更多高级方法，请参考：
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html
https://fedoraproject.org/wiki/FirewallD