firewalld基础

firewalld是一个基于网络区域的动态管理防火墙的守护进程。在iptables中需要理解表，链等概念，而在firewalld中需要从理解区域的概念开始

防火墙依照特定的规则允许或限制输出的数据通过。是否允许包通过防火墙，取决于防火墙的配置规则，每一条规则均有一个目标动作，具有相同动作的规则可以分组在一起。这些规则既可以使内置的，又可以是用户自定义的，实际上一个区域就是一套防火墙规则。基于用户对网络中设备和通信所给予的信任程度，防火墙可将网络划分成不同的区域。

区域的概念

firewalld使用网络区域顶i有网络连接的可信等级，这是一个一对多的关系，意味着一个连接可以仅仅是一个区域的一部分，而一个区域可以用作许多的网络连接

一个区域就是一套过滤规则，也相当于一组安全策略，数据包必须经过某个区域才能传入或者传出。不同区域定义不同的过滤规则和安全措施。每个区域对应一个xml配置文件，文件名为<去域名称>.xml

其中定义规则。

区域的目标

每个区域都有一个目标，即默认的处理行为，共有以下四个目标可用

default(默认)：默认拒绝数据包过滤，指用明确选中的服务或端口才允许通过，

ACCEPT(接受)：默认允许所有数据包通过

%%REJECT%%(拒绝)：默认丢弃任何数据包，并向发送者发挥一个错误的数据包

DROP(丢包)：默认丢弃任何数据包，不反馈任何信息。

区域定义的防火墙特性

每个区域都可以设置要打开或关闭的端口，服务列表，这可以使用多种防火墙特型来定义过滤规则，如允许预定义服务ssh。

区域的应用顺序

每个区域都有一套规则，mi俺对多个区域的情况下，一个通过的数据包，firewalld依次应用以下区域：源地址绑定的区域，网络接口绑定的的区域，firewalld默认配置的区域

对于通过的每个数据包，firewalld将首先检查其源代码，如果源代码绑定到特定区域，则将分析并应用该区域额的规则，如果源地址并未绑定到某个区域，则将数据包交由网络接口所绑定的区域。如果网罗接口未与某区域绑定，则见使用默认区域，默认情况下，系统会使用public区域作为默认区域，但是系统管理员可将默认区域更改为其他区域。在这个过程中，一旦找到匹配的区域，系统就i直接应用其定义的规则，不再继续查找其他区域。

由此可见，要在区域中配置规则，除了涉及服务，端口，伪装等特性外，还要涉及绑定源地址和网络接口。

规则的应用顺序

区域内规则的基本排序如下：设置任何端口转发和伪装规则，设置任何记录规则，设置任何允许规则，设置任何拒绝规则。

预定义域

firewalld将所有的网络流量分为多个区域，从而简化了防火墙管理，更具数据包源地址或传入接口等条件，流量将传入相应区域的防火墙规则。