一、构成

iptables防火墙策略

  • 由内核层面的netfilter网络过滤器处理

firewalld防火墙策略

  • 交由内核层面的nftables包过滤框架处理

  • 支持动态更新技术

  • 加入区域的概念

zone区域原理

  • drop(丢弃):任何接收的数据包都会被丢弃,没有任何恢复。仅能有发送出的网络连接
  • block(限制):任何接收的网络连接都能被IPV4的icmp-host-prohibited信息和IPV6的icmp6-adm-prohidited信息所拒绝
  • public(公共):在公共区域使用,不能相信网络内的其他计算机不会对你的计算机造成危险,只能接受经过选区的连接
  • external(外部):特别是为路由器启用了伪装功能的外部网。你不能信任来自网络的其他计算,不能相信它们不会对你的计算机造成危害,只能接收经过选择的连接。
  • dmz(非军事区):用于你的非军事区内的计算机,此区域内可公开访问,可以有限地进入你的内部网络,仅仅接收经过选择的连接
  • work(工作):用于工作区。你可以基本相信网络内的其他计算机不会危害你的计算机。仅仅接收经过选择的连接
  • home(家庭):用于家庭网络。你可以基本信任网络内的其他计算机不会危害你的计算机。仅接收经过选择的连接
  • internal(内部):于内部网络。你可以基本上信任网络内的其他计算机不会威胁你的计算机。仅仅接受经过选择的连接。
  • trusted(信任):可接受所有的网络连接

基本使用

一、启动

1.启动

1
systemctl start firewalld

2.关闭

1
systemctl stop firewalld

3.查看状态

1
systemctl status firewalld

4.开机禁用

1
systemctl disable firewalld

5.开机启用

1
systemctl enable firewalld

二、管理防火墙规则

1.查看版本

1
firewalld-cmd --version

2.查看帮助

1
firewalld-cmd --help

3.显示状态

1
firewalld-cmd --state

4.查看所有开发的端口

1
firewalld-cmd --zone=public--list-ports

5.更新防火墙规则

1
firewalld-cmd --reload

三、端口管理

  • 添加80端口,协议为 TCP 

    1
    firewall - cmd -- zone = public -- add - port =80/tcp

  • 查询80端

    1
    firewall - cmd -- zone = public -- query - port =80/tcp

  • 删除80端口

    1
    - firewall - cmd -- zone = public -- remove - port =80/tcp